Eine chinesische Hackergruppe mit dem Namen DarkSpectre hat über Jahre hinweg unbemerkt Millionen Internetnutzer kompromittiert. Sicherheitsanalysten des Unternehmens Koi Security zufolge wurden weltweit rund 8,8 Millionen Nutzer der Browser Chrome, Edge und Firefox mit Schadsoftware infiziert.

Der Angriff erfolgte nicht durch klassische Viren, sondern über manipulierte Browser-Erweiterungen, die zunächst völlig harmlos wirkten. Teilweise blieben diese Add-ons über fünf Jahre unauffällig, bevor sie schädliche Funktionen nachluden. Diese Verzögerung machte eine frühzeitige Erkennung nahezu unmöglich.

DarkSpectre verfolgte mehrere Kampagnen parallel. Die größte trug den Namen ShadyPanda und betraf rund 5,6 Millionen Nutzer. Weitere Kampagnen waren Zoom Stealer mit etwa 2,2 Millionen Opfern sowie GhostPoster mit rund 1,05 Millionen Betroffenen. Die Ziele reichten von Betrug über Datendiebstahl bis hin zu Spionage.

Besonders raffiniert war die technische Umsetzung. Der Schadcode wurde oft nur sporadisch aktiviert, etwa bei jedem zehnten Seitenaufruf oder erst Tage nach der Installation. In einigen Fällen war der bösartige Code sogar in Bilddateien versteckt, aus denen heimlich JavaScript ausgeführt wurde. Die eigentlichen Befehle kamen direkt von externen Servern, sodass die Angreifer ihre Malware jederzeit verändern konnten – ohne Updates über die offiziellen Browser-Marktplätze.

Forscher entdeckten mehr als 100 miteinander verknüpfte Erweiterungen, die über scheinbar legitime Funktionen wie Wetter-Widgets oder Hilfstools verbreitet wurden. Genau diese Tarnung ermöglichte es DarkSpectre, über Jahre hinweg aktiv zu bleiben.

Sicherheits­experten warnen zudem allgemein vor dem Missbrauch moderner Plattformen und KI-Dienste zur Verbreitung von Schadsoftware. Auch wenn es keine konkreten Hinweise auf eine DarkSpectre-Kampagne über Chatbots gibt, zeigt der Fall eindrücklich, wie professionell und langfristig Cyberangriffe heute organisiert sein können.

Der Vorfall unterstreicht, wie wichtig es ist, Browser-Erweiterungen kritisch zu prüfen, Berechtigungen zu begrenzen und Sicherheitsupdates ernst zu nehmen. Selbst scheinbar vertrauenswürdige Tools können sich langfristig als Einfallstor für Cyberkriminalität erweisen.