Grupo hacker usou extensões para espionar 4,3 mi de usuários

Um grupo hacker tornou-se protagonista de uma das campanhas de espionagem digital mais extensas e sorrateiras dos últimos anos, ao utilizar extensões aparentemente legítimas para monitorar, coletar dados sensíveis e comprometer a segurança de mais de 4,3 milhões de usuários em navegadores como Google Chrome e Microsoft Edge. 

O caso ganhou destaque após a divulgação de um relatório detalhado pela empresa de cibersegurança Koi. Tal documento revelou uma operação ativa há sete anos e expôs um conjunto alarmante de técnicas de infiltração, manipulação e roubo de informações.

Então, neste artigo, exploraremos o contexto do grupo hacker que usou extensões para espionar 4,3 milhões de usuários e também explicaremos o funcionamento delas. Além disso, iremos apresentar os desdobramentos da descoberta do contexto, bem como pensar sobre a importância de entendê-lo. Por fim, listaremos as lições a aprender com ele.

O contexto do grupo hacker que usou extensões para espionar 4,3 milhões de usuários

A descoberta que foi feita pelos pesquisadores da Koi revelou que a operação conduzida pelo grupo, identificado como ShadyPanda, estava longe de ser um ataque comum ou isolado. Tratava-se de uma campanha cuidadosamente planejada e executada ao longo de praticamente uma década. O grupo hacker teria explorado um vetor de ataque que costuma receber menos atenção: as extensões de navegador.

Uma campanha silenciosa que durou sete anos

Segundo o relatório, o grupo ShadyPanda aproveitou uma brecha estrutural no processo de revisão das lojas de extensões do Chrome e do Edge. Ao mesmo tempo em que a primeira versão de uma extensão passa por análises intensas, as atualizações subsequentes nem sempre seguem o mesmo rigor. E foi justamente esse o ponto fraco que permitiu o ataque prolongado.

A operação começou com a publicação de extensões legítimas e realmente úteis. Com o passar dos anos, os hackers acumularam avaliações positivas e milhões de downloads, conquistando autoridade e confiança dentro das lojas oficiais. 

Quando alcançaram massa crítica, lançaram atualizações contendo malware, spyware e backdoors. Em outras palavras, após sete anos de uma reputação impecável, decidiram ativar o plano malicioso.

Dados enviados secretamente para servidores na China

O relatório destaca que o grupo hacker enviava informações sensíveis para diversos domínios chineses, incluindo servidores vinculados à Baidu e páginas controladas pelo próprio ShadyPanda. 

Sendo assim, o ataque combinava técnicas de rastreamento avançado, como fingerprinting persistente, coleta de metadados e monitoramento de comportamento em tempo real. Tudo isso sem gerar alertas para o usuário comum.

Até 1º de dezembro de 2025, data da publicação do estudo, cinco extensões ainda estavam ativas na loja do Edge, somando mais de 4 milhões de instalações, mesmo após os primeiros sinais de atividade suspeita já terem sido identificados.

Funcionamento das extensões que o grupo hacker utilizava

A operação demonstrava uma maturidade técnica rara. O grupo não apenas inseriu códigos maliciosos nas extensões, mas também desenvolveu mecanismos para se esconder, contornar detecções e operar de forma praticamente invisível. Sendo assim, o funcionamento dessas extensões revela o grau de sofisticação atingido pelo ShadyPanda.

Estratégia de longo prazo baseada em reputação

O esquema seguia uma lógica simples, porém extremamente eficaz:

  1. Publicar ferramentas úteis: as extensões iniciais ofereciam funções reais, desde limpeza de navegador até produtividade;
  2. Construir reputação e conquistar usuários: com atualizações constantes e bom desempenho, as extensões foram marcadas até como Destaque nas lojas de navegadores;
  3. Adicionar códigos maliciosos discretamente: anos depois, quando já tinham milhões de usuários e avaliações positivas, receberam atualizações contendo malware e backdoors;
  4. Iniciar espionagem silenciosa: a partir daí, começaram a monitorar URLs, cliques, cookies, horários de atividade e outros dados sensíveis;
  5. Usar desativação automática para ocultar evidências: o código era capaz até de parar o comportamento suspeito quando detectava que o DevTools, ferramenta de desenvolvedores, estava aberto.

Campanha 1

Uma das extensões mais críticas envolvidas foi a popular Clean Master, desenvolvida pela Starlab Technology. Com cerca de 300 mil usuários, ela funcionava como uma ferramenta de limpeza e otimização de navegação. Porém, em 2024, uma atualização introduziu um backdoor potente. Essa porta secreta permitia:

  • Monitoramento total do histórico: URLs completas, parâmetros, referenciadores HTTP;
  • Fingerprinting avançado: identificadores persistentes do sistema operacional, hardware, navegador e rede;
  • Perfil temporal de uso: coleta de carimbos de data e hora para criar cronogramas de atividade.

Juntamente com isso, a extensão conseguia injetar scripts até em conexões HTTPS, o que é considerado um dos cenários mais perigosos em segurança digital. Esse tipo de ataque pode permitir a captura de senhas, interceptação de formulários e manipulação de páginas seguras.

Campanha 2

Outra peça-chave da campanha foi a WeTab, uma extensão com mais de 3 milhões de instalações, divulgada como uma ferramenta de produtividade. Suas funções incluíam organização de abas e melhorias de interface, nada que levantasse suspeitas. Por baixo da interface amigável, no entanto, a extensão:

  • registrava pesquisas feitas em buscadores;
  • capturava cliques feitos em qualquer site;
  • coletava cookies e identificadores de sessão;
  • enviava dados em tempo real para 17 domínios diferentes, incluindo servidores chineses.

A escala da WeTab é o que a torna especialmente alarmante: com milhões de usuários ativos, ela se tornou um dos maiores vetores de espionagem digital já identificados em navegadores modernos.

Desdobramentos da descoberta dessa situação do grupo hacker

A identificação da campanha forçou Google e Microsoft a tomar medidas rápidas, embora tardias, para milhões de usuários que já haviam tido seus dados comprometidos.

A remoção das extensões das lojas

Em resposta ao site The Register, um porta-voz do Google declarou que todas as extensões relacionadas ao ataque foram removidas da Chrome Web Store. Da mesma forma, a Microsoft afirmou: “Removemos todas as extensões identificadas como maliciosas na loja do Edge. Quando tomamos conhecimento de casos que violam nossas políticas, agimos de forma apropriada.”, Mesmo assim, a remoção não encerra o problema.

Extensões continuam ativas nos navegadores infectados

Os pesquisadores da Koi alertam que, por mais que as extensões tenham sido eliminadas das lojas, elas continuam funcionando em navegadores onde já estavam instaladas. Em outras palavras, o usuário precisa removê-las manualmente. Isso cria um risco contínuo, principalmente para quem:

  • não costuma revisar as extensões instaladas;
  • usa dispositivos compartilhados;
  • não mantém hábitos regulares de cibersegurança.

Conexões com campanhas maliciosas anteriores

A investigação também encontrou evidências de que o ShadyPanda participou de outras operações antigas que já estavam inativas. Sendo assim, entre elas:

  • extensões de papéis de parede usadas para fraudes de afiliados em sites como Amazon e eBay;
  • sequestradores de navegador (browser hijackers) que alteravam resultados de busca;
  • redirecionamentos automáticos para monetizar acessos.

Logo, isso indica que o grupo vem testando modelos de ataque há muito tempo, aprimorando-se até chegar à operação mais robusta agora descoberta.

A situação desse grupo hacker já teve alguns desdobramentos.
A situação desse grupo hacker já teve alguns desdobramentos. | Foto: DALL-E 3

A importância de entender a circunstância desse grupo hacker

Compreender o caso ShadyPanda é fundamental não apenas para especialistas, mas para qualquer usuário comum. Esse episódio mostra que navegadores, embora mais seguros do que no passado, ainda são alvos extremamente valiosos para grupos maliciosos.

Perigos que vão além do roubo de dados

O acesso via extensões permite que hackers:

  • interceptem formulários, incluindo logins e dados bancários;
  • monitorem comportamentos e hábitos online;
  • assumam controle remoto de certas ações dentro do navegador;
  • instalem novos scripts ou redirecionamentos sem que o usuário perceba.

Trata-se de um tipo de ataque com potencial para comprometer privacidade, finanças e até segurança corporativa, dependendo do ambiente onde o navegador é utilizado.

Confiança cega em extensões é um risco crescente

Muitas pessoas instalam extensões sem verificar:

  • quem é o desenvolvedor,
  • quando foi a última atualização,
  • qual é o número de permissões solicitadas,
  • se há comentários recentes negativos.

Esse comportamento facilita o sucesso de campanhas como a do ShadyPanda. Afinal, quando a ferramenta é útil, o usuário simplesmente não imagina que ela possa se tornar maliciosa anos depois.

Lições a aprender com o contexto desse grupo hacker

O caso traz ensinamentos valiosos que podem ajudar usuários, empresas e governos a lidar com ameaças semelhantes no futuro.

1. Revisar extensões instaladas regularmente

É essencial remover qualquer extensão que:

  • não seja mais utilizada;
  • pareça suspeita;
  • tenha permissões excessivas;
  • tenha mudado de desenvolvedor;
  • tenha avaliações negativas recentes.

2. Evitar extensões que solicitem permissões amplas

Se uma extensão pede acesso total a dados de navegação, histórico, abas ou cookies, é preciso questionar se ela realmente precisa disso para funcionar.

3. Acompanhar listas de extensões maliciosas

Empresas de cibersegurança como Kaspersky, ESET e Malwarebytes frequentemente publicam alertas sobre extensões perigosas. Ficar atento pode evitar danos.

4. Atualizar navegadores e sistemas

Sistemas desatualizados são mais vulneráveis a scripts maliciosos, injeções e falhas de validação.

5. Entender que lojas oficiais não são infalíveis

O caso prova que, mesmo em lojas confiáveis:

  • malwares podem passar despercebidos,
  • códigos maliciosos podem ser adicionados após anos,
  • extensões podem mudar de dono silenciosamente.

A segurança, assim, nunca deve ser delegada totalmente a terceiros.

Resumindo, ao analisar o impacto causado por esse grupo hacker, fica evidente que ataques digitais estão cada vez mais sofisticados e silenciosos, exigindo atenção redobrada dos usuários. Ou seja, para proteger sua navegação, dados pessoais e informações sensíveis, é crucial revisar extensões instaladas, acompanhar alertas de segurança e adotar boas práticas de proteção digital!

*com uso de Inteligência Artificial

Artigos recentes