Le 30 décembre 2025, les chercheurs de Koi Security ont publié les conclusions de leur dernière enquête sur l’acteur cybercriminel DarkSpectre. Identifié depuis plusieurs années, cet acteur chinois aurait récemment disséminé des extensions de navigateur visant à collecter des renseignements d’entreprise, en extrayant notamment des informations issues de réunions Zoom et Google Meet.

« Nous les appelons DarkSpectre », écrivent les chercheurs de Koi Security dans un article de blog publié le 30 décembre 2025, pour désigner cet acteur cybercriminel qui aurait déjà infecté environ 8,8 millions d’utilisateurs à travers le monde.

Patient et méthodique, ce groupe de hackers a fait de l’infection de navigateurs son domaine de prédilection, avec une méthode largement documentée : publier des extensions pratiques et gratuites, gagner en légitimité au fil du temps et des utilisateurs, puis les transformer en malware via une mise à jour, une fois l’outil installé sur des millions de machines.

Actif depuis plus de 7 ans, le groupe viserait particulièrement les marketplaces d’extensions des navigateurs Chrome, Firefox et Opera. C’est avec ce même stratagème qu’il aurait mené trois campagnes d’envergure, chacune servant des intérêts différents.

La plus récente, baptisée ZoomStealer, comprenez le « voleur de Zoom », aurait transformé des extensions de productivité en outils d’espionnage, capables de siphonner des données liées aux réunions en ligne.

bitdefender-logo
Bitdefender new Box
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Je protège ma vie privée simplement
L'extension Chrome Audio Capture, téléchargée des centaine de milliers de fois fait partie intégrante de la campagne ZoomStealer // Source : Koi Security
L’extension Chrome Audio Capture, téléchargée des centaines de milliers de fois, fait partie intégrante de la campagne ZoomStealer. // Source : Koi Security

ZoomStealer collecte, organise et transmet les données sensibles

Concrètement, la campagne ZoomStealer repose sur 18 extensions disséminées sur les différents navigateurs.

Outils pour extraire des vidéos, minuteurs de réunion ou enregistreurs audio : toutes remplissent réellement les fonctions annoncées. Parmi elles, une extension se distingue particulièrement : Chrome Audio Capture, qui revendique à elle seule plus de 800 000 installations.

Comme toujours avec DarkSpectre, derrière ces outils se cache le piège.

Ici, il s’agit d’un dispositif d’espionnage sophistiqué centré sur les plateformes de visioconférence : toutes ces extensions demandent des permissions étendues sur plus de 28 services, dont Zoom, Microsoft Teams et Google Meet.

Une fois installées, elles se transforment en véritables aspirateurs à données de réunion : à chaque visite d’une page de webinar ou de visioconférence, un script embarqué analyse la page et en extrait les informations sensibles, comme les liens de réunion (souvent avec mot de passe intégré), les identifiants de session, le sujet, la description, la date, l’horaire et le statut d’inscription.

Le dispositif dresse également des fiches détaillées des intervenants et organisateurs, collectant noms, fonctions, biographies, photos de profil, entreprise, logos et visuels promotionnels.

Une première étape vers des campagnes de phishing ciblées

Selon Koi Security, la campagne ZoomStealer aurait déjà infecté 2,2 millions de machines et marque une nouvelle étape pour DarkSpectre, jusque‑là surtout connu pour des opérations de surveillance de masse et de revente de données personnelles, plutôt que pour du renseignement ciblé sur les entreprises.

D’après la société de cybersécurité, ces extensions ont permis au groupe de cartographier les centres d’intérêt de nombreuses organisations, d’identifier des cibles privilégiées et, à terme, de préparer des campagnes de phishing particulièrement crédibles.

Toujours selon les chercheurs de Koi, les indices techniques laissés sur leur passage (infrastructures hébergées sur Alibaba Cloud, commentaires de code, et horaires d’activité) laissent peu de doute sur l’attribution de DarkSpectre à un acteur lié à la Chine.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !