Si une qualité devait être reconnue aux membres de ShadyPanda, ce serait sans doute leur patience. Ce groupe de cybercriminels se trouve au centre du dernier rapport publié le 1er décembre 2025 par les chercheurs de l’entreprise de cybersécurité Koi.
On y découvre 5 campagnes menées par le groupe au fil des dernières années. Toutes reposent sur un stratagème déjà documenté en juillet 2025 : concevoir des extensions navigateur parfaitement fonctionnelles, gagner la confiance des utilisateurs et des plateformes de marketplace, accumuler les avis positifs et les téléchargements, puis, soudainement, déployer une mise à jour massive contenant un logiciel malveillant.
« Pas de phishing. Pas d’ingénierie sociale », soulignent les chercheurs. Parmi les campagnes recensées, l’une d’elles retient particulièrement l’attention. Les différentes étapes de l’attaque s’étendent en effet sur deux décennies distinctes.
Un des pièges a débuté en 2018
Cette opération au long cours s’appuie sur cinq extensions piégées. Trois ont été mises en ligne entre 2018 et 2019, dont Clean Master, qui a dépassé les 200 000 installations.
Pendant des années, ce nettoyeur de cache et de données, censé accélérer le navigateur et protéger la vie privée, a rempli sa promesse, au point d’obtenir les labels « à la une » et « vérifiée » sur les marketplaces de Chrome et d’Edge.
Puis, courant 2024, ShadyPanda, qui contrôlait discrètement l’extension, a diffusé une mise à jour malveillante, infectant automatiquement les centaines de milliers d’utilisateurs via le mécanisme de mise à jour automatique des navigateurs. Le code malveillant fraichement injecté offre une surveillance complète du navigateur et interroge chaque heure une infrastructure de commande pour récupérer de nouvelles instructions distillées par les assaillants.
Une caractéristique particulièrement sournoise qui alerte les chercheurs : « Il ne s’agit pas d’un logiciel malveillant à fonction fixe, mais d’une porte dérobée. ShadyPanda décide de son fonctionnement. Aujourd’hui, il s’agit de surveillance ; demain, ce pourrait être un ransomware, un vol d’identifiants ou de l’espionnage industriel. »
ShadyPanda sème toujours ses pièges
Selon les chercheurs de Koi, les extensions ont été retirées des plateformes Chrome et Edge, mais les machines déjà compromises restent vulnérables aux prochains mouvements de ShadyPanda.
D’autres opérations similaires se sont poursuivies après la campagne Clean Master. À la date de la publication du rapport de Koi Security, 5 autres extensions du même éditeur, lancées vers 2023, étaient toujours proposées aux utilisateurs Edge. Microsoft a depuis annoncé avoir supprimé les extensions identifiées comme malveillantes.
Parmi elles, WeTab revendiquait à elle seule environ trois millions de téléchargements. Présentée comme un outil de productivité, cette plateforme servait en réalité de dispositif de surveillance, collectant de multiples données utilisateur. URLs visitées, requêtes de recherche, suivi des clics de souris… les informations étaient transmises en temps réel vers des serveurs opérés en Chine.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !