Una nueva campaña de malware, identificada como Zoom Stealer, ha comprometido a más de 2,2 millones de usuarios de Chrome, Firefox y Microsoft Edge mediante 18 extensiones de navegador maliciosas.
Estas extensiones están diseñadas para recolectar información sensible de reuniones en línea, incluyendo URLs, IDs de sesión, temas, descripciones y contraseñas incrustadas, lo que representa un riesgo significativo para la seguridad corporativa.
Zoom Stealer forma parte de un conjunto de campañas maliciosas a gran escala que, a lo largo de siete años, han impactado a más de 7,8 millones de usuarios. Todas ellas han sido atribuidas a un mismo actor de amenazas avanzado, identificado como DarkSpectre, especializado en el uso de extensiones de navegador como vector de ataque para la recopilación de inteligencia empresarial.
En TecnetOne estamos atentos a este tipo de amenazas emergentes para ayudar a las empresas a adelantarse a los riesgos, reforzar su seguridad y proteger la información crítica que hoy circula a diario en herramientas de colaboración y videoconferencia, clave en los entornos de trabajo actuales.
A partir del análisis de la infraestructura y los patrones de operación, investigadores señalan que DarkSpectre estaría vinculado al mismo actor de amenazas de origen chino responsable de campañas anteriores como GhostPoster, enfocada en usuarios de Firefox, y ShadyPanda, que distribuyó cargas de spyware a través de extensiones para Chrome y Edge.
Según especialistas de Koi Security, la campaña ShadyPanda continúa activa, operando actualmente mediante 9 extensiones maliciosas y al menos 85 extensiones “durmientes”, diseñadas para construir una base de usuarios legítimos antes de activar comportamientos maliciosos a través de futuras actualizaciones. Este enfoque refuerza la necesidad de extremar el control y la visibilidad sobre las extensiones instaladas en entornos corporativos.
Flujo de descubrimiento de campañas (Fuente: Koi Security)
Si bien los indicios de una posible vinculación con China ya se habían detectado previamente, la atribución es hoy mucho más sólida gracias a múltiples evidencias técnicas. Entre ellas se destacan el uso de infraestructura alojada en Alibaba Cloud, la presencia de registros ICP, artefactos de código con cadenas y comentarios en idioma chino, patrones de actividad alineados con la zona horaria china y un modelo de monetización orientado al ecosistema de comercio electrónico chino.
Este conjunto de señales refuerza la atribución del actor y confirma el nivel de sofisticación detrás de la campaña.
Las 18 extensiones involucradas en la campaña Zoom Stealer no están enfocadas exclusivamente en reuniones en línea. Algunas se presentan como herramientas legítimas para descargar videos o grabar audio, como Chrome Audio Capture, que supera las 800.000 instalaciones, o Twitter X Video Downloader.
Al momento de la publicación, varias de estas extensiones seguían disponibles en la Chrome Web Store, lo que aumenta el alcance y el riesgo de la amenaza. Un punto clave es que todas las extensiones funcionan correctamente y cumplen con lo que prometen, lo que les permite pasar desapercibidas y generar confianza en los usuarios.
Este comportamiento refuerza una táctica cada vez más común en campañas avanzadas: ofrecer funcionalidades reales mientras, en segundo plano, se recopila información sensible vinculada a reuniones y actividad corporativa.
Extensión Chrome Audio Capture
De acuerdo con el análisis técnico, todas las extensiones asociadas a la campaña Zoom Stealer solicitan acceso a más de 28 plataformas de videoconferencia, entre ellas Zoom, Microsoft Teams, Google Meet y Cisco WebEx. A partir de ese acceso, son capaces de recolectar información clave de las reuniones, como:
URLs e IDs de reuniones, incluyendo contraseñas integradas
Estado de registro, temas y horarios programados
Nombres, cargos, biografías y fotos de perfil de anfitriones y oradores
Logotipos corporativos, recursos gráficos y metadatos de las sesiones
Podría interesarte leer: Principales Estadísticas Sobre Ransomware en 2025 que Debes Conocer
La extracción de estos datos se realiza mediante conexiones WebSocket, que permiten su transmisión en tiempo real hacia infraestructuras controladas por los atacantes. Esta actividad se activa cuando los usuarios acceden a páginas de registro de webinars, se unen a reuniones o navegan por plataformas de videoconferencia, sin que exista una señal visible para la víctima.
La información obtenida puede ser utilizada para espionaje corporativo, inteligencia comercial y ataques de ingeniería social altamente dirigidos, e incluso para la venta de accesos a reuniones confidenciales.
Al recopilar de forma sistemática enlaces de reuniones, listas de participantes y contexto empresarial de millones de usuarios, los atacantes pueden construir una base de datos ideal para suplantaciones de identidad a gran escala, facilitando el acceso no autorizado a llamadas sensibles y aumentando la credibilidad de los engaños.
Dado que muchas de estas extensiones operaron de manera aparentemente legítima durante largos períodos, resulta fundamental que los usuarios y las organizaciones revisen cuidadosamente los permisos solicitados, reduzcan el número de extensiones instaladas y mantengan un control estricto sobre el entorno del navegador.
Aunque varias extensiones han sido reportadas, muchas continúan disponibles en la Chrome Web Store, lo que refuerza la importancia de adoptar un enfoque preventivo y proactivo frente a este tipo de amenazas.
Protegerse de amenazas como Zoom Stealer requiere una combinación de buenas prácticas de ciberseguridad y herramientas de protección adecuadas. En TecnetOne te recomendamos algunas de las medidas más efectivas:
Antes de instalar cualquier extensión de navegador, es fundamental verificar con atención:
Qué permisos está solicitando
Si esos accesos son realmente necesarios para su funcionamiento
Una extensión que solicita acceso a todos los sitios que visitas o a información sensible sin una razón clara debe considerarse una señal de alerta.
Instala extensiones únicamente desde tiendas oficiales y revisa aspectos clave como:
Calificaciones de otros usuarios
Comentarios y reseñas
Cantidad de descargas
Aun así, es importante recordar que una extensión puede comportarse de forma legítima durante un tiempo y volverse maliciosa posteriormente mediante una actualización.
Mantener el sistema operativo y el navegador actualizados ayuda a reducir la superficie de ataque. Además, es recomendable:
Utilizar soluciones de seguridad endpoint y antivirus, como TecnetProtect.
Implementar controles que limiten la instalación de extensiones no autorizadas en entornos corporativos
La ciberseguridad también depende del factor humano. Es clave que los equipos comprendan:
Qué son y cómo funcionan las extensiones de navegador
Por qué no deben instalar herramientas no verificadas
Cómo identificar comportamientos o comunicaciones sospechosas
En empresas medianas y grandes, resulta fundamental implementar políticas que restrinjan o bloqueen la instalación de extensiones no autorizadas en equipos corporativos, reduciendo así el riesgo de exposición.
Zoom Stealer es un claro ejemplo de cómo las amenazas digitales siguen evolucionando y ganando sofisticación. Hoy los atacantes no se limitan a robar credenciales, sino que apuntan a información estratégica del negocio y al funcionamiento interno de las organizaciones.
Por eso, la seguridad en videoconferencias ya no es solo una cuestión técnica: es una responsabilidad clave para la continuidad y protección del negocio.