この1年間、私たちは数多くのマーケットプレイスで数百件、いや数千件にも及ぶ悪意あるアイテムを発見してきました。しかし、これまで調査してきた最大かつ最も巧妙なキャンペーンの数々を裏で操る、潤沢な資金を持つ犯罪組織を突き止めたのは、今回が初めてです。
私たちはこの組織をDarkSpectreと命名しました。これは、7年以上にわたる活動の中で少なくとも3つの大規模マルウェアキャンペーンを展開し、880万人以上のユーザーに感染した中国の脅威アクターです。本日、私たちはその全貌を明らかにするとともに、220万人のユーザーに影響を与える新たなDarkSpectreキャンペーンと、GhostPosterに紐づくOperaブラウザ拡張機能(インストール数は約100万件)の存在を新たに公開します。
これらは類似した手口を持つ3つの別個の脅威アクターではありません。高度に組織化された単一の組織による活動です。インフラを追跡する中で、私たちは初めて公開する新事実を発見しました。220万人のユーザーを標的とし、企業の会議情報を窃取するキャンペーンです。
この情報を公開するのは、組織がある重要な事実を理解する必要があるからです。拡張機能の脅威の世界に跋扈するのは、無計画な日和見的犯罪者ではありません。DarkSpectreのような、忍耐強く、高度な技術を持ち、国家レベルの規模で活動するプロの犯罪組織なのです。
3つのキャンペーンを1つのアクターへ結びつけた発見の連鎖
出発点:ShadyPanda
最初のShadyPanda調査を公開した後、私たちはIOC(侵害指標)の調査を拡張するために改めて分析を行いました。さらにいくつかの関連する拡張機能が見つかるだろうと予想していましたが、実際には100件以上が見つかりました。
手がかりとなったのは、最初の調査で特定した2つのドメインです。infinitynewtab.comとinfinitytab.comです。
巧妙な点はここにあります。これらはC2サーバーや情報流出のためのドメインではありませんでした。拡張機能の正規機能——新しいタブ機能、天気ウィジェット、ユーザーが本当に求めているもの——を動かすための正規サイトだったのです。しかしDarkSpectreは、この「クリーン」なドメインを、全く別の悪意あるC2・情報流出インフラに接続された他の拡張機能にも使い回していました。正規の運営サイドが、すべてを結びつける糸になっていたわけです。
最初の拡大:新たなクラスターの出現
これらのドメインをもとに、このインフラと通信している拡張機能を特定しました。コードを分析すると、さらにハードコードされたドメイン、APIエンドポイント、リダイレクトチェーンが見つかりました。そして2つの新たなクラスターが浮上しました。
jt2x.comクラスター:C2操作、設定ダウンロード、データ流出、アフィリエイト詐欺にapi.jt2x.comを使用する拡張機能群です。
zhuayuya.com / muo.ccクラスター:異なるドメインを使用しながらも、全く同じ運用パターンを持つ別グループです。
1つのドメインが拡張機能へ、その拡張機能が新たなドメインへ、そのドメインがさらに多くの拡張機能へとつながっていきました。ある拡張機能からは、全く異なるインフラを使う数十もの拡張機能を持つパブリッシャーへと辿り着きました。ネットワークは拡大し続けました。Chrome、Edge、Firefoxにまたがる100件以上の拡張機能です。
GhostPosterとの接点
新たに発見された拡張機能の中に、「New Tab – Customized Dashboard」がありました。これは起動まで3日間待機するという巧妙な時限爆弾型の拡張機能です。そのC2インフラが注目を引きました。

これらのドメインをシステムにフラグ登録しようとしたとき、ポップアップ警告が表示されました。「これらのドメインはすでにGhostPosterとしてフラグ登録されています。」 liveupdt.comとdealctr.com——これらは悪意あるPNGアイコンを通じてFirefoxユーザー5万人に感染したGhostPoster調査で記録した、まさに同じC2ドメインでした。
同じインフラ。同じペイロード配信技術(PNGファイルに偽装されたコード)。異なるマーケットプレイス。しかし同一の運営者。
しかし、GhostPosterとの接点はそれだけではありませんでした。あるSOCチームが私たちのIOCの1つを自社環境で発見したことを連絡してきました。その発見が、Operaブラウザのマーケットプレイスにある新たな拡張機能へと私たちを導きました。charliesmithbonsによる「Google™ Translate」——インストール数は約100万件です。
調査の結果、GhostPosterと同じ悪意ある挙動が確認されました。この拡張機能は翻訳ツールに偽装しながら、すべてのウェブサイトのセキュリティ保護を無効化し、リモートコード実行のための隠しiframeバックドアをインストールし、中国系ECのアフィリエイトリンクに対する不正防止保護を無効化します。通信先は、オリジナルのGhostPosterキャンペーンで確認されたドメインmitarchive.infoと、新たなドメインgmzdaily.comです。

Zoom Stealerとの接点
調査はまだ終わりではありませんでした。ShadyPandaの拡張調査で、パターンに合致しない拡張機能が1件見つかりました。
Twitter X Video Downloader
この拡張機能はinfinitynewtab.com——ShadyPandaの中核インフラ——と通信していました。しかし、その挙動を分析すると予想外のものが見つかりました。データ流出やユーザー監視だけでなく、28以上のビデオ会議プラットフォームから会議情報を収集していたのです。
この糸を辿ると、同じことをしている17件以上の拡張機能が見つかりました。これはまったく別のキャンペーンであり、私たちはこれをZoom Stealerと名付けました。その目的は、企業の会議情報を検索可能なデータベースとして構築することです。

DarkSpectreの武器庫:複数の戦術、単一のアクター
DarkSpectreが危険なのは、その規模だけではありません。異なる3つの目的に応じた戦術を使い分ける多様性にあります。
戦術A:長期戦(ShadyPanda)
目的:大規模な監視+アフィリエイト詐欺
正規の拡張機能をアップロードして3〜5年以上にわたってメンテナンスを続け、「注目」「認証済み」バッジを獲得してから、単一のアップデートでインストールベース全体を武器化します。時間遅延起動、リモートコード注入、設定ベースのC2を活用します。一部の拡張機能は5年以上クリーンな状態を保ってから転じています。
規模:Chrome、Edge、Firefoxの100件以上の拡張機能を通じて560万人のユーザー
戦術B:トロイの木馬画像(GhostPoster)
目的:Firefoxユーザーへのステルスなペイロード配信
ステガノグラフィーを使用してPNGアイコンファイル内に悪意あるコードを隠蔽します。拡張機能が自身のロゴを読み込み、隠されたJavaScriptを抽出して実行します。48時間の遅延と10%の起動確率を持つ多段階ローディングを採用しています。ShadyPandaと同じC2インフラを使用します。
規模:FirefoxとOperaの18件の拡張機能を通じて105万人のユーザー
戦術C:企業情報収集(Zoom Stealer)
目的:企業の会議情報データベースの構築
会議の生産性ツールに偽装した拡張機能が、28以上のビデオ会議プラットフォームへのアクセス権限を要求します。会議のリンク、認証情報、参加者リスト、登壇者のプロフィールをWebSocketでリアルタイムに流出させます。これは消費者詐欺ではなく、企業スパイのためのインフラです。
規模:Chrome、Edge、Firefoxの18件の拡張機能を通じて220万人のユーザー
3つの戦術が示すもの
日和見的な犯罪者は、このレベルの運用多様性を維持しません。うまくいく手口を1つ見つけたら、それが通用しなくなるまで繰り返すだけです。
DarkSpectreは違います。
- 主要ブラウザプラットフォームすべてにわたる並行キャンペーン
- 各プラットフォームと目的に合わせて適応させた独自技術
- 長期的なインフラ投資(7年以上の活動)
- 進化する目的(詐欺から監視、企業スパイへ)
これは組織的です。資金があります。戦略的です。
キャンペーン詳細:Zoom Stealer
会議情報収集キャンペーン——被害者220万人
異なる目的
ShadyPandaとGhostPosterは、監視、アフィリエイト詐欺、RCEバックドアを中心に展開し、持続的なアクセスを維持しながらユーザーデータを収益化していました。Zoom Stealerはより標的を絞った活動を示しています——企業の会議情報を組織的に収集することです。
発見の経緯
2つのキャンペーンをつなぐ橋渡しとなったのが、Twitter X Video Downloaderという拡張機能でした。
この拡張機能はShadyPandaの中核インフラであるinfinitynewtab.comと通信しながら、ビデオ会議プラットフォームにもアクセスして会議データを収集していました。この拡張機能から、このクラスターの18件すべての拡張機能が使用する別の流出ドメインを特定しました。
拡張機能群の実態
これらは明らかなマルウェアではありませんでした。実際に価値を提供する機能ツールでした。
- 動画ダウンローダー(実際に機能する)
- 会議タイマー(実際に機能する)
- 自動承認ヘルパー(実際に機能する)
- 録画アシスタント(実際に機能する)
ユーザーは宣伝通りの機能を得られました。拡張機能は信頼と好評価を積み重ねました。その一方で、監視はバックグラウンドで静かに実行されていました。
中でも際立っているのが、Chrome Audio Captureです。この拡張機能だけで80万件以上のインストール数があります。

権限が示す手がかり
表明されている機能に関係なく、Zoom Stealerのすべての拡張機能は28以上のビデオ会議プラットフォームへのアクセスを要求していました。Zoom、Microsoft Teams、Google Meet、Cisco WebEx、GoToWebinar、ON24、Demio、その他21以上のサービスです。
Twitterの動画ダウンローダーがZoomにアクセスする理由はありません。Google Meetのタイマーがと WebExにアクセスする理由もありません。しかし、このキャンペーンのすべての拡張機能がそれらすべてへのアクセスを要求していました。
データ収集エンジンの仕組み
これらの拡張機能のいずれかをインストールしてウェビナーの登録ページを訪問すると、拡張機能のコンテンツスクリプトが動作を開始し、ページから価値ある情報をすべて収集します——パスワードが埋め込まれた会議URL、ミーティングID、トピック、説明、予定時刻、登録状況などです。

しかし、会議の詳細情報を収集するだけではありません。この拡張機能群は、ウェビナーの登壇者や主催者のプロフィール情報を組織的に収集します——氏名、役職、経歴、プロフィール写真、所属企業です。

登録したウェビナーごとに、拡張機能が登壇者の詳細なプロフィールを構築していきます。人物情報だけでなく、企業ロゴ、プロモーション画像、セッションのタイミングも収集し、登録の成否まで記録します。
リアルタイム流出
最も懸念されるのは、収集されるデータの内容だけではありません——その送信方法です。WebSocket接続によるライブストリーミングが使われています。
これらは定期的にチェックインするような拡張機能ではありません。持続的なWebSocket接続を確立し、会議の動向をリアルタイムでストリーミング送信します。会議に参加した瞬間、登録ページを開いた瞬間、ビデオ会議プラットフォームに移動した瞬間、そのデータは即座に攻撃者のサーバーへ流れていきます。
会議情報の価値とは
DarkSpectreは現在、220万人分の会議データを保有しています。その価値はいったいいくらでしょうか。
企業スパイ活動:競合他社が戦略会議、製品ロードマップの議論、M&A交渉へのアクセスを購入できます。データベースには実際の参加リンクが含まれています。
営業情報収集:どの企業がどのウェビナーに参加しているかを把握することで、その企業の関心領域、課題、購買タイムラインが明らかになります。
ソーシャルエンジニアリング:登壇者の氏名、役職、経歴、写真を手に入れることで、攻撃者は非常に説得力の高いフィッシングキャンペーンを仕掛けられます。「こんにちは、先日ご参加いただいた製品ロードマップのウェビナーで登壇したSarahと申します……」
直接アクセスの販売:最高値を付けた人に会議リンクを売ることもできます。競合他社の決算説明会のプレビューを盗み聞きしたいですか?
より大きな脅威
なりすまし攻撃と企業スパイ活動は近年急増しています。このキャンペーンは、まさにこうした攻撃を大規模に実行するためのインフラを構築しているように見えます。
220万人のユーザーにわたって会議リンク、参加者リスト、企業情報を組織的に収集することで、DarkSpectreは大規模ななりすまし活動を支える可能性のあるデータベースを作り上げました——攻撃者が機密通話に参加するための認証情報、誰になりすますかを特定するための参加者リスト、そのなりすましを説得力あるものにするための文脈情報を備えています。
あなたの会議リンクは、競合他社、脅威アクター、国家にとって価値があります。しかし、それらを守るためのセキュリティモデル——ブラウザ拡張機能に広範な権限を与えるというモデル——は、依然として笑ってしまうほど脆弱なままです。
キャンペーン詳細:ShadyPanda
主力キャンペーン——被害者560万人
最初の発見
当初のShadyPanda調査では、7年間のキャンペーンで430万人のユーザーに感染していることが判明しました。拡張機能は生産性ツール——新しいタブページ、翻訳機能、タブマネージャー——に見せかけながら、包括的なスパイウェアとして機能していました。
拡張調査:100件以上の拡張機能
IOC調査を拡張するために再度分析を行い、同じインフラに接続した100件以上の拡張機能を新たに発見し、被害者数がさらに130万人増加しました。
現在の脅威の内訳:
- 9件が現在も悪意ある活動中——データの窃取、検索ハイジャック、アフィリエイト詐欺を現在進行形で実行
- 85件以上が休眠状態——現在は正規のコードだが、武器化アップデートを待機中
jt2x.comクラスター(4件の現役拡張機能)
C2操作のためにapi.jt2x.comと通信している4件の拡張機能です。2件は翻訳ツールを装い、残り2件はタブ管理ユーティリティを装っています。これらの便利そうな外観の裏に、巧妙なアフィリエイト詐欺とデータ流出の仕組みが潜んでいます。
仕組み:
これらの拡張機能をインストールすると、直ちに悪意ある設定をダウンロードするためにアクセスします。

C2サーバーは、拡張機能に何をすべきかを指示するJSONペイロードを返します。

この設定ベースのアプローチにより、運営者は拡張機能のアップデートをプッシュすることなく、サーバーが返す内容を変更するだけで拡張機能の挙動を変更できます。
実際の活動内容:
- リモートコード注入:訪問したすべてのウェブサイトでbcaicai.comからJavaScriptをダウンロードして実行します。運営者はいつでもコードを変更できます——パスワードの窃取、キーストロークのログ記録、偽の決済フォームの挿入——拡張機能のアップデートは不要です。
- 持続的追跡:セッションをまたいで追跡し、行動プロファイルを構築するためのデバイス・ユーザー識別子を生成します。
- 検索ハイジャック:9以上の検索エンジンを監視し、結果リンクをアフィリエイトトラッキング経由にルーティングします。
- ECサイト詐欺:URLパターンマッチングでJD.comとTaobaoを標的にし、正規リンクをアフィリエイト版に差し替えます。
時限爆弾:「New Tab – Customized Dashboard」
この拡張機能は、時間遅延起動によるDarkSpectreの巧妙さを如実に示しています。

ChromeやEdgeに拡張機能を提出すると、審査担当者が悪意ある挙動を検査します。しかし、3日間は待ちません。この拡張機能は審査期間中は完全に正規のものに見え、すべてのチェックをパスして承認されてから、初めて悪意あるペイロードを起動します。さらに巧妙なのは、ページロードのうち約10%にしか起動しないため、テスト中に発見されにくくなっていることです。
コードは静的解析を回避するために難読化も施されています。拡張機能は文字列の連結とオブジェクトプロパティアクセスを使って、eval()の呼び出しを隠蔽しています。

3日間の待機期間が終わると、拡張機能はC2インフラに接続して実際の悪意あるペイロードをダウンロードします。

サーバーは約67KBのエンコードされたJavaScriptをPNG画像に偽装して返します——GhostPosterと同じ技術、同じドメインです。拡張機能はこのペイロードをデコードし、訪問するすべてのウェブサイトで実行します。拡張機能のアップデートは不要で、審査プロセスをバイパスする必要もありません。運営者はサーバーが返す内容を更新するだけで、あなたのブラウザ上で実行されるものを制御できます。
では、ダウンロードされたペイロードには実際に何が含まれているのでしょうか。現在運営者が実行しているものを以下に示します(ただし、いつでも変更可能であることを忘れないでください)。
- 持続的追跡:訪問したすべてのページ、行ったすべての検索、クリックしたすべてのリンク。ローカルと同期ストレージの両方に保存される持続的なユーザーIDは、ブラウザを再インストールしても残存します。
- アフィリエイト詐欺:TaobaoとJD.comのアフィリエイトリンクを標的にし、非表示のリダイレクトで手数料を横取りします。
ペイロード全体はカスタムエンコーディング、XOR暗号化、パック化されたJavaScriptという複数層の難読化に包まれています。この拡張機能のあらゆる部分が、検出を回避するように設計されています。
WeTab:主力スパイウェア
WeTabはShadyPandaの武器庫の中で最も包括的なスパイウェアであり続けています——閲覧履歴の完全な収集、検索クエリのロギング、ピクセル精度のマウスクリック追跡、そして17の異なるドメインへの個人データ流出(中国のBaiduサーバー8台、中国のWeTabサーバー7台、Google Analytics)を実行しています。Chromeマーケットプレイスに2つのプレゼンスを持ち、合計で30万件以上のインストール数を誇ります。現在も活動中。現在も収集中です。

85件以上の休眠拡張機能
これらの拡張機能は、信頼構築フェーズを完了しています。
- 合計数十万件のインストール数
- 長年にわたる好評価
- 「注目」「認証済み」バッジ
- クリーンなコード(現時点では)
- 完全な信頼を得たアクティブなユーザーベース
DarkSpectreの確立されたパターンから判断すると、これらのいずれも次のアップデートで悪意ある動作に転じる可能性があります。運営者は5年以上待てることを実証済みです。戦略的目標に沿ったタイミングで、武器化を実行するでしょう。
帰属:中国との接点
私たちが解明したすべてが1つの方向を指しています——資金力のある中国の組織です。
インフラ
- C2サーバーが中国のAlibaba Cloudインフラ上に一貫してホスティング
- 中国の省(特に湖北省)に紐づくICP(インターネットコンテンツプロバイダー)登録
コードの痕跡
- コードベース全体に見られる中国語の文字列
- 中国語のコメントと変数名
- 中国のタイムゾーン活動と一致する開発パターン
ターゲティング
- 中国のECプラットフォーム(JD.com、Taobao)向けに特化して設計されたアフィリエイト詐欺スキーム
- 中国のマーケットプレイス構造に合わせたURLパターンマッチング
運用上の特性
- 極度の忍耐力:武器化前に正規の拡張機能を5年以上維持
- マルチプラットフォーム対応能力:Chrome、Edge、Firefoxにまたがる同時並行の活動
- 多様な目的:消費者詐欺から監視、企業スパイへ
- 規模:880万人以上の被害者は相当なインフラ投資を要する
示唆されること
忍耐力、規模、技術的洗練度、運用多様性の組み合わせは、相当な資源と長期的な戦略目標を持つ攻撃者の存在を示しています。
DarkSpectreが国家に支援されているのか、国家に近い存在なのか、あるいは国家に黙認された資金力のある犯罪組織なのかはともかく、その活動レベルはほとんどの脅威アクターが維持できないものです。正規の拡張機能を何年もかけて維持し続け、武器化する適切なタイミングを待つという規律は、資金、組織、戦略的なビジョンを必要とします。
おわりに
私たちがDarkSpectreを特定できたのは、起点となるインフラのIOCを持っていたからです。ShadyPandaからGhostPoster、Zoom Stealerへと痕跡を辿れたのは、共通のインフラが存在していたからです。
DarkSpectreは今この瞬間にも、さらなるインフラを展開している可能性があります——完全に正規に見える拡張機能が、今は実際に正規のものとして存在しているかもしれません。信頼構築フェーズの途中で、ユーザーを積み重ね、バッジを獲得し、待ち続けているのです。私たちがこの3つの活動を暴いている間に、他に何を準備していたのかは、時間が経たないとわかりません。
そして、DarkSpectreは1つのグループに過ぎません。中国、ロシア、北朝鮮、その他のアクターが同様の長期的な活動を展開しているとすれば、何組いるでしょうか。合計すると、このグループだけで私たちが複数のキャンペーンにわたって発見した拡張機能は300件近くに上ります。すべての脅威アクターにわたる休眠拡張機能の総数は、知る由もありません。
マーケットプレイスのモデルは、アップロード時に1回だけ拡張機能をチェックします。DarkSpectreは好きなときにアップデートします。だからこそKoiはWings——静的解析、動的解析、エージェンティックAIを使用してすべての拡張機能のすべてのバージョンを分析するリスクエンジン——を開発しました。これが、起動まで何年も待つ休眠型脅威を捕捉する方法です。
デモを予約すると、Koiの継続的なモニタリングがマーケットプレイスが見逃しているものをどのように検出するかをご確認いただけます。
IOC(侵害指標)
更新(2026年2月12日):
公開後、当初のIOCリストに含まれていたmeetingtv[.]usドメインに関して追加の検証を行いました。このドメインは調査中に分析したコードに出現しましたが、本レポートで説明している悪意あるインフラや脅威アクターグループとは何ら関係がないことが判明しました。
新規ドメイン – Shady Panda
- infinitynewtab[.]com
- infinitytab[.]com
- jt2x[.]com
- zhuayuya[.]com
- 58.144.143.27
- muo[.]cc
- websiteshare[.]cn
- diytab[.]com
- userscss[.]top
- istartnewtab[.]com
- letsearchesp[.]com
- policies.extfans[.]com
新規ドメイン – GhostPoster
- gmzdaily[.]com
Chrome – Zoom Stealer
- kfokdmfpdnokpmpbjhjbcabgligoelgp
- pdadlkbckhinonakkfkdaadceojbekep
- akmdionenlnfcipmdhbhcnkighafmdha
- pabkjoplheapcclldpknfpcepheldbga
- aedgpiecagcpmehhelbibfbgpfiafdkm
- dpdgjbnanmmlikideilnpfjjdbmneanf
- kabbfhmcaaodobkfbnnehopcghicgffo
- cphibdhgbdoekmkkcbbaoogedpfibeme
- ceofheakaalaecnecdkdanhejojkpeai
- dakebdbeofhmlnmjlmhjdmmjmfohiicn
- adjoknoacleghaejlggocbakidkoifle
- pgpidfocdapogajplhjofamgeboonmmj
- ifklcpoenaammhnoddgedlapnodfcjpn
- ebhomdageggjbmomenipfbhcjamfkmbl
- ajfokipknlmjhcioemgnofkpmdnbaldi
Edge – Zoom Stealer
- mhjdjckeljinofckdibjiojbdpapoecj
Firefox – Zoom Stealer
- {7536027f-96fb-4762-9e02-fdfaedd3bfb5}
- [email protected]
Chrome – Shady Panda
- aikflfpejipbpjdlfabpgclhblkpaafo
- dbfmnekepjoapopniengjbcpnbljalfg
- nnnkddnnlpamobajfibfdgfnbcnkgngh
- ppfdcmempdfjnanjegmjhanplgjicefg
- fmiefmaepcnjahoajkfckenfngfehhma
- edojphplonjclmfckdiolpahpgcanjnh
- bjehnpiidogpaocjjfhnopdjcahigggm
- kdgjiakonpbfmndaacfhamdoangincgp
- dihekmadkkcgnffajefocfamnpimlhah
- eijnkinhnplaekpllmgbbfieecdhcmcp
- mdlkdelnchilkeedllnnjfigkhhadlff
- agepkkdokhlaoiaenedmjbfnblfdiboc
- epepbcdeelckgplpmmmnmjplbeipgllo
- makeekhnfplggoaiklkphfopajegajci
- cahdpfhnokmnnjhoaoliabdbcbbokmgc
- mmpfmolbdhdfoblfggigchncdgmdnjha
- knejepegjmjmjlhficbikmblnbemdpke
- cjlabngphhjjdapemkdnpgkpebkpjbbe
- jeaebbdndojkbnnfcaihgokhnakocbnf
- bajoeadpdidoahbhphmhejmbdmgnbdci
- goiffchdhlcehhgdpdbocefkohlhmlom
- djkddblnfgendjoklmfmocaboelkmdkm
- codgofkgobbmgglciccjabipdlgefnch
- cicnbbdlbjaoioilpbdioeeaockgbhfi
- mchacgmgddefeohkjobefhihbadocneh
- oelcnhfgpdjeocflhhfecinnpjojeokp
- fllcifcfhgmmfpogmpedgbjccnjalpjo
- fmgaogkbodhdhhbgkphhbokciiecllno
- dkbpkjhegfanacodkmfjeackckmehkfp
- jooiimddfkjoomennmpjabdbbpdocjng
- dekjibpkbhgbnmnfibnibnjoccaphfog
- mnamhmcgcfflfjafflanbhbfffpmkmmm
- ambcheakfbokmebglefpbbphbccekhhl
- nmaegedpdmepbkahckadmaolllgmogma
- doeomodlafdbbnajjllemacdfphbbohl
- meobjhkdifjealkiaanikkpajiaalcad
- kfdopiiledmclnopmihkclnfgdiggjna
- cfgiodgnkinmacjkgjgdejeciohojglp
- okepehobneenpbhiendcjcanjodhmcbj
- cdgonefipacceedbkflolomdegncceid
- bgkdocoihppjkdfaghndpjlfoehjcmka
- ldmnodpmebcfcdkejkdakphbcjnmejlf
- pdfladlchakneeclhmpoboohikpbchkj
- gipnpcencdgljnaecpekokmpgnhgpela
- idholfkkmfccbondfiabhlmdfeamnnaj
- bpgaffohfacaamplbbojgbiicfgedmoi
- jdehnhjckcbfdkgnlbfjokofagpbbdgl
- dijcdmefkmlhnbkcejcmepheakikgpdg
- gndlcpbcmhbcaadppjjekgbhfhceeikm
- lepdjbhbkpfenckechpdfohdmkhogojf
- hbjeophpjnopmeheabcilmgdhnnjbmbo
- dlfjoijnhjeagkenhbililbdiooginng
- kolgdodmgnnhnijmnnidfabnghgakobl
Edge – Shady Panda
- edohfgmjmdnibeihfcajfclmhapjkooa
- pdjpkfbpeniinkdlmibcdebccnkimnna
- hmpjibmngagmkafmijncjokocepchnea
- kljbaedmklfnlgfmmbodnckafhllkjnd
- lmppkgmbapjgihlpadknmfalefnfnfnd
- ldghoefcghcinacfneopmnechojlhldf
- mgjfjcimpkdjgeldkcaoboiojmlcleka
- aghafppaelpjbjajpgcogcojcbmappoi
- kgdjeaonamhfooejllllfpeappcgfpod
- knjgknhkgmedmajpkhooaagjgfgbcndo
- apoklfecapckgpbbcpaiebemaghmkncf
- podfjomopoejmlkfnhanlmlagcnlappd
- idngjfdlfbfgecemidnhbdcogggnjkpg
- kghabofklgjfnipgkjadlogcjbebkeid
- fmmfeaoidanfcipomjfolmchjdnhmaio
- cfmfokegjjljmdcdpnmlfajlddngkoah
- eoimljninkkepafoijpgbedkkieobfek
- ojmaccnnagaiokckbcpdldhnifkibcah
- bhoebgegnjoehioianjnjakeeggajanb
- edojphplonjclmfckdiolpahpgcanjnh
- leaglmohfmgdengbciphnodmcgfgdgnf
- ljdhejdbbogemelgkihbabifpfdfomcc
- hfokkkgobhlkcagflcbgcokdbnknfngo
- hilgkhepkfjdkkdigphhcgmghefdledg
- jipclfaahkhinbelbojjblmbcpkaipko
- cmckpheolajgbmhlfhgelajhhfgjbhpk
- jjdhjfgoadphekgihokkigfghndfmffb
- nelegdbdfopcgkignnifhdoiapldlhpf
- dnojfjfegklgconkoekfkaajejmdgdkj
- nnceocbiolncfljcmajijmeakcdlffnh
- dacliiapfipnlipdmifioaijepgmhdga
- cpbbiepjnljbnngpepgeaojjeneacpld
- ocopipabchoopeppmgiigphgbicocoea
- gfechfioaanebemclajhfgkfaopcaibo
- hoclolhilhbecpefaignjficiaaclpop
- ibmdocjlknaopfecmnojomdlbeadpdnb
- ckdbfeccfocmhdclmmofmheljglmhhne
- gddkghdkhhlihaabphhnjbhdoiifhcpa
Firefox – Shady Panda
- {34b0d04c-29cf-473c-bb6c-c2fe94377b99}
- {7cc10397-c6f4-4a27-a1e7-83b870dd6cab}
- nickyfeng2@edgetranslate[.]com
- 1305302314@qq[.]com
- mail@imba97[.]cn
- {99d4bddd-5452-4216-83bc-fcd57857b6fb}
- {f7d2c8aa-e06e-4117-8b99-52a145eb7d23}
- {5f246670-f5e2-45ff-b183-be21cbeb065a}
- {c257a965-0bf8-4934-bf85-9ebf761d1cf8}
Opera – GhostPoster
- Google™ Translate by charliesmithbons
翻訳元: https://www.koi.ai/blog/darkspectre-unmasking-the-threat-actor-behind-7-8-million-infected-browsers