DarkSpectre：880万台の感染ブラウザの背後にある脅威アクターを明かす

過去1年間、私たちは数多くのマーケットプレイスで数百、いや数千もの悪質なアイテムに遭遇してきました。しかし、私たちがこれまで発見した中で最大かつ最も高度なキャンペーンのいくつかに責任を持つ、資金が豊富な犯罪組織を見つけたのはこれが初めてです。

私たちは彼らをDarkSpectreと呼んでいます。7年以上の活動期間にわたって880万人以上のユーザーに感染する少なくとも3つの主要なマルウェアキャンペーンを背後で操る中国の脅威アクターです。そして本日、彼らのストーリーを公開するとともに、220万ユーザーに影響を与えるDarkSpectre の別のキャンペーンを暴露し、GhostPosterに関連する100万インストール近くのOpera拡張機能を発見しました。

これは3つの別々の脅威アクターが類似した作戦を実行しているのではありません。これは1つの高度に組織化された作戦です。そしてその基盤を追跡している間に、私たちは新しいことを発見しました：企業会議インテリジェンスを盗む220万ユーザーキャンペーンで、これを初めて開示しています。

私たちがこれを公開しているのは、組織が理解する必要があるからです：拡張機能の脅威環境は散在した日和見的な犯罪者ではありません。それはDarkSpectrのような専門的な作戦です。忍耐強く、高度で、国家規模で活動しています。

発見の連鎖：3つのキャンペーンを1つのアクターに結びつけた方法

出発点：ShadyPanda

最初のShadyPanda調査を公開した後、IOC調査を拡大するために戻りました。私たちはもう数個の接続された拡張機能を見つけると予想していました。100個以上見つけました。

私たちのピボットポイントは、元の調査から得た2つのドメインでした：infinitynewtab.comとinfinitytab.com。

ここが賢い部分です：これらはC2またはデータ流出ドメインではありませんでした。これらは拡張機能の正当な機能を強化する正当なサイトでした。新しいタブ機能、天気ウィジェット、ユーザーが実際に必要とするものです。しかし、DarkSpectrはこれらの同じ「クリーン」ドメインを、完全に異なる悪質なC2およびデータ流出基盤に接続する他の拡張機能全体で再利用しました。彼らの作戦の正当な側面が、すべてを結びつけるスレッドになりました。

最初の拡大：新しいクラスターが出現

これらのドメインから、このインフラストラクチャと通信する拡張機能を特定しました。コードを掘り下げると、追加のハードコードされたドメイン、APIエンドポイント、およびリダイレクトチェーンが明らかになりました。2つの新しいクラスターが出現しました：

jt2x.comクラスター – C2操作、設定ダウンロード、データ流出、およびアフィリエイト詐欺スキームにapi.jt2x.comを使用する拡張機能。

zhuayuya.com / muo.ccクラスター – 異なるドメインを使用しているが同じ運用パターンを持つ別のグループ。

1つのドメインが拡張機能につながりました。それらの拡張機能が新しいドメインを明らかにしました。それらのドメインがより多くの拡張機能に接続しました。一部の拡張機能は、完全に異なるインフラストラクチャを使用している数十の他の拡張機能を持つパブリッシャーに私たちを導きました。ネットワークは拡大し続けました：Chrome、Edge、およびFirefoxで100個以上の拡張機能。

GhostPosterの接続

新しく発見された拡張機能の中には「新しいタブ – カスタマイズされたダッシュボード」がありました。これは3日間待ってから起動する高度なタイムボム拡張機能です。そのC2インフラストラクチャが注目を集めました：

システムでこれらのドメインにフラグを付けようとしました。ポップアップアラートが表示されました：「これらのドメインはGhostPosterとして既にフラグが付けられています。」liveupdt.comとdealctr.com – 私たちのGhostPoster調査で文書化した正確な同じC2ドメイン。これは50,000人のFirefoxユーザーを悪質なPNGアイコンで感染させました。

同じインフラストラクチャ。同じペイロード配信技術（PNGファイルとして偽装されたコード）。異なるマーケットプレイス。1人のオペレーター。

しかし、GhostPosterの接続はそこでは終わりませんでした。SOCチームが彼らの環境でIOCの1つを見つけた後、私たちに連絡してきました。彼らの発見は、Opera ブラウザマーケットプレイスの新しい拡張機能に私たちを導きました：「Google™ Translate」（charliesmithbonsによる） – ほぼ100万インストール。

私たちが調査したところ、GhostPosterと同じ悪質な動作を見つけました：拡張機能は翻訳ツールに偽装していますが、すべてのウェブサイトのセキュリティ保護を削除し、リモートコード実行用に隠された iframe バックドアをインストールし、中国の電子商取引アフィリエイトリンク上の詐欺防止を無効にします。これはmitarchive.infoと通信します。これは元のGhostPosterキャンペーンのドメインで、新しいドメイン：gmzdaily.com。

Zoomスティーラーの接続

しかし、私たちはまだ完了していません。ShadyPandaの拡大に表示された1つの拡張機能がパターンに合いませんでした：‍

Twitter X ビデオダウンローダー

この拡張機能はinfinitynewtab.comと通信しました。ShadyPandaのコアインフラストラクチャです。しかし、その動作を分析したとき、予期しないことを見つけました：これはデータ流出とユーザー監視を実行しているだけではありませんでした。28以上のビデオ会議プラットフォームから会議インテリジェンスを収集していました。

このスレッドをたどると、同じことをしている17個の拡張機能をさらに見つけました。完全に別のキャンペーンで、Zoomスティーラーと名付けたものです。その目的は企業会議インテリジェンスの検索可能なデータベースを構築することです。

DarkSpectrの兵器庫：複数のプレイブック、1つのアクター

DarkSpectrを危険にしているのは、単なるスケールではなく、汎用性です。3つの異なる目的のための3つの異なるプレイブック：

プレイブックA：長期戦（ShadyPanda）

目的：大規模なマス監視 + アフィリエイト詐欺

正当な拡張機能をアップロードし、3〜5年以上の間メンテナンスし、「注目」と「検証済み」のバッジを獲得し、その後単一の更新でインストールベース全体を武装化します。時間遅延起動、リモートコード注入、設定ベースのC2。一部の拡張機能は翻転する前に5年以上クリーンで実行されていました。

スケール：Chrome、Edge、およびFirefoxで100個以上の拡張機能全体で560万ユーザー

プレイブックB：トロイの木馬イメージ（GhostPoster）

目的：Firefoxユーザーへのステルス性の高いペイロード配信

ステガノグラフィーを使用してPNGアイコンファイル内に隠された悪質なコード。拡張機能は独自のロゴをロードし、隠されたJavaScriptを抽出し、実行します。48時間の遅延と10％の起動確率で複数段階のローディング。ShadyPandaと同じC2インフラストラクチャ。

スケール：FirefoxおよびOperaで18個の拡張機能全体で105万ユーザー

プレイブックC：企業インテリジェンス（Zoomスティーラー）

目的：企業会議インテリジェンスのデータベースの構築

会議生産性ツールに偽装した拡張機能。28以上のビデオ会議プラットフォームの権限をリクエストしています。会議リンク、認証情報、参加者リスト、スピーカー名簿のリアルタイムWebSocketデータ流出。これは消費者詐欺ではありません。これは企業スパイ活動インフラストラクチャです。

スケール：Chrome、Edge、およびFirefoxで18個の拡張機能全体で220万ユーザー

3つのプレイブックが私たちに何を伝えるか

日和見的な犯罪者はこのレベルの運用上の多様性を維持しません。彼らは機能するものを見つけて、それが機能しなくなるまで繰り返します。

DarkSpectrはより異なって操作します：

すべての主要なブラウザプラットフォーム全体での並列キャンペーン
各プラットフォームと目的に適応した異なるテクニック
長期的なインフラ投資（7年以上の活動）
進化する目的（詐欺から監視から企業スパイまで）

これは組織化されています。これは資金が提供されています。これは戦略的です。

キャンペーン詳細掘り下げ：Zoomスティーラー

会議インテリジェンス作戦 – 220万の被害者

異なる目的

ShadyPandaとGhostPosterは監視、アフィリエイト詐欺、およびRCEバックドアに焦点を当てていました。ユーザーデータを収益化しながら永続的にアクセスを維持します。Zoomスティーラーはより目的を絞ったものを表します：企業会議インテリジェンスの体系的な収集。

発見

1つの拡張機能がギャップを埋めました：Twitter X ビデオダウンローダー。

この拡張機能はinfinitynewtab.comと通信しました。ShadyPandaのコアインフラストラクチャ。しかし、それはビデオ会議プラットフォームにもアクセスしており、会議データを収集していました。この拡張機能から、このクラスターのすべての18個の拡張機能によって使用される別のデータ流出ドメインを見つけました。

拡張機能

これらは明らかなマルウェアではありませんでした。実際の価値を提供した機能ツールでした：

ビデオダウンローダー（機能した）
会議タイマー（機能した）
自動承認ヘルパー（機能した）
記録アシスタント（機能した）

ユーザーは広告されたものを得ました。拡張機能は信頼と肯定的なレビューを獲得しました。一方、監視はバックグラウンドで静かに実行されていました。

1つの拡張機能が際立っています：Chrome Audio Captureで80万人以上のインストール。

権限告発

指定された機能に関係なく、すべてのZoomスティーラー拡張機能は28以上のビデオ会議プラットフォームへのアクセスをリクエストしました：Zoom、Microsoft Teams、Google Meet、Cisco WebEx、GoToWebinar、ON24、Demio、他21以上。

Twitterビデオダウンローダーは Zoomにアクセスする理由がありません。Google Meetタイマーは WebExにアクセスする理由がありません。しかし、このキャンペーンのすべての拡張機能はすべてのリクエストをリクエストしました。

データ収集エンジン

これらの拡張機能をインストールしたウェビナー登録ページにアクセスすると、拡張機能のコンテンツスクリプトが起動し、ページをスクレイピングしてすべての貴重な情報を取得します。組み込みパスワード付きの会議URL、会議ID、トピック、説明、スケジュール時間、登録ステータス：

しかし、それは会議の詳細で止まりません。拡張機能は体系的にウェビナースピーカーとホストから専門的な情報をスクレイピングします。名前、タイトル、略歴、プロフィール写真、会社提携：

登録したすべてのウェビナーについて、拡張機能はスピーカーの専門的なドシエを構築しました。人々を超えて、彼らは会社のロゴ、プロモーショングラフィック、セッションタイミングを収集しました。登録が成功したか失敗したかを追跡します。

リアルタイムデータ流出

最も懸念されるのは、データが何に使用されているかだけではなく、それがどのように送信されたかでした。ライブストリーミング用WebSocket接続。

これらは定期的にチェックインする拡張機能ではありません。彼らはあなたの会議活動をリアルタイムでストリーミングする永続的なWebSocket接続を確立します。会議に参加したり、登録ページを開いたり、ビデオ会議プラットフォームに移動したりすると、そのデータはすぐに攻撃者のサーバーに流れます。

会議インテリジェンスで何をするか？

DarkSpectrは現在、220万ユーザー分の会議データを保持しています。それは何の価値がありますか？

企業スパイ活動：競合他社は戦略会議、製品ロードマップディスカッション、M&A交渉へのアクセスを購入できました。データベースには実際の参加リンクがあります。

営業インテリジェンス：どの企業がどのウェビナーに参加するかを知ることは、彼らの利益、痛み、購入タイムラインを明らかにします。

ソーシャルエンジニアリング：スピーカーの名前、タイトル、略歴、写真で武装した攻撃者は、信じられないようなフィッシングキャンペーンを作成します。「やあ、これは、あなたが参加した製品ロードマップウェビナーのサラです。」

直接アクセス：最高入札者に会議リンクを販売しています。競合他社の収益予想をリッスンしたいですか？

より大きな脅威

なりすまし攻撃と企業スパイ活動はここ数年増加しています。このキャンペーンは、これらの攻撃を大規模に可能にするインフラストラクチャを構築しているように見えます。

220万ユーザー全体で会議リンク、参加者リスト、企業インテリジェンスを体系的に収集することで、DarkSpectrは大規模ななりすまし作戦を可能にできるデータベースを作成しました。攻撃者に機密通話に参加するための認証情報を提供し、なりすましの対象を知るための参加者リスト、そしてそれらのなりすましを説得力を持たせるためのコンテキストを提供します。

あなたの会議リンクは競合他社、脅威アクター、国民国家にとって価値があります。しかし、それらを保護するためのセキュリティモデル – ブラウザ拡張機能に広い権限で信頼する – は依然として笑うほど弱いです。

キャンペーン詳細掘り下げ：ShadyPanda

フラッグシップ作戦 – 560万の被害者

元の発見

最初のShadyPanda調査では、430万ユーザーに感染する7年間のキャンペーンを発見しました。拡張機能は生産性ツール（新しいタブページ、翻訳機、タブマネージャー）として自らを紹介しながら、包括的なスパイウェアとして動作していました。

拡大：100個以上の拡張機能

IOC調査を拡大するために戻ったところ、同じインフラストラクチャに接続している100個以上の追加の拡張機能を発見し、130万人の被害者をさらに追加しました。

現在の脅威の内訳：

9つのアクティブな悪質な – データを盗んでいる、検索をハイジャックしている、今すぐアフィリエイト詐欺を実行している
85以上の静止状態の睡眠 – 今日は正当でも、次の更新で武装化を待っています

jt2x.comクラスター（4つのアクティブな拡張機能）

現在api.jt2x.comと通信してC2操作を行う4つの拡張機能。2つは翻訳ツールとして偽装していますが、他の2つはタブ管理ユーティリティとして自らを紹介しています。これらの有用なファサードの下には、高度なアフィリエイト詐欺とデータ流出作戦があります。

仕組み：

これらの拡張機能の1つをインストールすると、悪質な設定をダウンロードするためにすぐに到達します：

C2サーバーは、拡張機能に何をするべきかを正確に伝えるJSONペイロードで応答します：

この設定ベースのアプローチは、オペレータが更新をプッシュすることなく拡張機能の動作を変更できることを意味します。サーバーが返すものを変更するだけです。

彼らがしていること：

リモートコード注入：訪問したすべてのウェブサイトでbcaicai.comからJavaScriptをダウンロードして実行します。オペレータはいつでもこのコードを変更できます。パスワードを盗む、キーストロークをログする、偽の支払いフォームを注入する。拡張機能の更新は不要です。
永続的な追跡：セッション全体で追跡し、行動プロファイルを構築するためのデバイス/ユーザー識別子を生成します。
検索ハイジャック：9以上の検索エンジンを監視し、結果リンクを変更してアフィリエイト追跡を通じてルーティングします。
電子商取引詐欺：URLパターンマッチングでJD.comおよびTaobaoをターゲットに、正当なリンクをアフィリエイト版に置き換えます。

タイムボム：「新しいタブ – カスタマイズされたダッシュボード」

この拡張機能は時間遅延起動を備えたDarkSpectrの洗練さを示しています：

Chrome または Edge に拡張機能を送信すると、レビュアーが悪質な動作についてテストします。しかし、彼らは3日待たない。この拡張機能は確認期間中に完全に正当に見え、すべてのチェックに合格し、承認され、その後だけ悪質なペイロードを起動します。さらに良い – それはページロードの約10％でのみ起動し、テストで捕捉するのがさらに難しくなります。

コードは静的分析を回避するために大量に難読化されています。拡張機能は文字列連結とオブジェクトプロパティアクセスを使用してeval()呼び出しを隠します：

3日間の待機期間後、拡張機能はC2インフラストラクチャに接続して実際の悪質なペイロードをダウンロードします：

サーバーは、GhostPosterで使用された同じテクニックおよび同じドメインで、PNGイメージとして偽装された約67KBのエンコードされたJavaScriptで応答します。拡張機能はこのペイロードをデコードして、訪問したすべてのウェブサイトで実行します。拡張機能の更新は不要、レビュープロセスのバイパスなし。オペレータはサーバーが返すものを更新することで、ブラウザで実行される内容を制御します。

では、ダウンロードされたペイロードに実際に含まれているのは何ですか？オペレータが現在実行しているものを次に示します（ただし、いつでも変更できることを忘れないでください）：

永続的な追跡：訪問したすべてのページ、実行したすべての検索、クリックしたすべてのリンク。ローカルおよび同期ストレージの両方に保存された永続的なユーザーID は、ブラウザの再インストール後も残ります。
アフィリエイト詐欺：Taobaoおよび JD.comアフィリエイトリンクをターゲットに、隠されたリダイレクトを通じてコミッションをハイジャックしています。

ペイロード全体は複数の難読化レイヤーで包装されています。カスタムエンコーディング、XOR暗号化、パックJavaScript。この拡張機能のすべての部分は検出を回避するように設計されています。

WeTab：フラッグシップスパイウェア

WeTabはShadyPandaの武器庫で最も包括的なスパイウェアのままです。完全なブラウジング履歴収集、検索クエリログ、ピクセルレベルの精度でのマウスクリック追跡、および17の異なるドメイン（中国の8つのBaiduサーバー、中国の7つのWeTabサーバー、Google Analytics）への個人データ流出。Chrome マーケットプレイスで300,000人以上の統合インストール数で双子の存在を維持します。依然としてアクティブです。依然として収集しています。

85以上のスリーパー拡張機能

これらの拡張機能は信頼構築フェーズを完了しました：

数十万の統合インストール
年の肯定的なレビュー
「注目」および「検証済み」バッジ
クリーンコード（今のところ）
完全な信頼を持つアクティブなユーザーベース

確立されたDarkSpectrプレイブックに基づいて、これらのいずれかが次の更新で悪質になる可能性があります。オペレータは5年以上待つことを示しました。戦略的な目標を果たすときに武装化します。

帰属：中国とのつながり

私たちが発見したすべてが一つの方向を指しています。資金が豊富な中国の作戦：

インフラストラクチャ

C2サーバーは一貫してAlibaba Cloudインフラストラクチャ（中国内）でホストされています
ICP（インターネットコンテンツプロバイダー）登録は、特に湖北省の中国の州に関連付けられています

コードアーティファクト

コードベース全体に中国語の文字列
中国語のコメントと変数名
中国のタイムゾーン活動と一致する開発パターン

ターゲット

アフィリエイト詐欺スキーム（中国の電子商取引プラットフォームJD.com、Taobaoに特別に設計）
中国のマーケットプレイス構造に調整されたURLパターンマッチング

運用上の特性

極度の忍耐：武装化する前に5年以上の間正当な拡張機能を維持しています
マルチプラットフォーム機能：Chrome、Edge、Firefoxを横断する同時操作
多様な目的：消費者詐欺、監視、企業スパイ活動
スケール：800万人以上の被害者には大規模なインフラ投資が必要です

これが示唆すること

忍耐、スケール、技術的洗練、および運用上の多様性の組み合わせは、実質的なリソースと長期的な戦略目標を持つ敵を指します。

DarkSpectrが国家が後援している、国家に隣接している、または国家が容認する資金の豊富な犯罪組織であるかどうかにかかわらず、彼らはほとんどの脅威アクターが維持できないレベルで動作します。数十の正当な拡張機能を数年間維持するという規律。武装化する正しい瞬間を待つだけです。資金、組織、戦略的ビジョンが必要です。

最終的な考え

インフラストラクチャIOCがあったので、DarkSpectrを特定しました。ShadyPandaからGhostPosterへZoomスティーラーまで、インフラストラクチャを共有していたために包屑をたどることができました。

DarkSpectrはおそらく現在、より多くのインフラストラクチャを用意しています。完全に正当に見える拡張機能。今のところ。彼らはまだ信頼構築フェーズにあり、ユーザーを蓄積し、バッジを獲得し、待機しています。時間だけが、私たちがこれら3つの作戦を暴露している間、彼らが他に何を準備していたかを示すでしょう。

そしてDarkSpectrは単なるグループです。同様の長期的な作戦を実行している他の脅威アクター。中国、ロシア、北朝鮮、またはその他の人物はいくつですか？合計で、このグループは複数のキャンペーン全体で約300個以上の拡張機能を見つけました。すべての脅威アクター全体でスリーパー拡張機能の総数は不明です。

マーケットプレイスモデルは、アップロード時に拡張機能を1回チェックします。DarkSpectrはいつでも更新されます。だから Koiが Wings を構築した理由です。静的分析、動的分析、エージェントAIを使用してすべてのバージョンのすべての拡張機能を分析するリスクエンジン。年を待つスリーパー脅威をキャッチする方法です。

デモをブックして、Koiの継続的なモニタリングがマーケットプレイスが見逃すものをキャッチする方法を確認してください。

IOCs

更新（2026年2月12日）：‍

発行後、元々IOCリストに含まれていたドメイン meetingtv[.]us に関する追加の検証を実施しました。このドメインは調査中に分析されたコードに表示されたとき、このドメインが本報告書で説明されている悪質なインフラストラクチャまたは脅威アクターグループに関連または関連があることの証拠がないことが判明しました。

新しいドメイン – Shady Panda

infinitynewtab[.]com
infinitytab[.]com
jt2x[.]com
zhuayuya[.]com
58.144.143.27
muo[.]cc
websiteshare[.]cn
diytab[.]com
userscss[.]top
istartnewtab[.]com
letsearchesp[.]com
policies.extfans[.]com

新しいドメイン – GhostPoster

gmzdaily[.]com

Chrome – Zoomスティーラー

kfokdmfpdnokpmpbjhjbcabgligoelgp
pdadlkbckhinonakkfkdaadceojbekep
akmdionenlnfcipmdhbhcnkighafmdha
pabkjoplheapcclldpknfpcepheldbga
aedgpiecagcpmehhelbibfbgpfiafdkm
dpdgjbnanmmlikideilnpfjjdbmneanf
kabbfhmcaaodobkfbnnehopcghicgffo
cphibdhgbdoekmkkcbbaoogedpfibeme
ceofheakaalaecnecdkdanhejojkpeai
dakebdbeofhmlnmjlmhjdmmjmfohiicn
adjoknoacleghaejlggocbakidkoifle
pgpidfocdapogajplhjofamgeboonmmj
ifklcpoenaammhnoddgedlapnodfcjpn
ebhomdageggjbmomenipfbhcjamfkmbl
ajfokipknlmjhcioemgnofkpmdnbaldi

Edge – Zoomスティーラー

mhjdjckeljinofckdibjiojbdpapoecj

Firefox – Zoomスティーラー

{7536027f-96fb-4762-9e02-fdfaedd3bfb5}
[email protected]

Chrome – Shady Panda

aikflfpejipbpjdlfabpgclhblkpaafo
dbfmnekepjoapopniengjbcpnbljalfg
nnnkddnnlpamobajfibfdgfnbcnkgngh
ppfdcmempdfjnanjegmjhanplgjicefg
fmiefmaepcnjahoajkfckenfngfehhma
edojphplonjclmfckdiolpahpgcanjnh
bjehnpiidogpaocjjfhnopdjcahigggm
kdgjiakonpbfmndaacfhamdoangincgp
dihekmadkkcgnffajefocfamnpimlhah
eijnkinhnplaekpllmgbbfieecdhcmcp
mdlkdelnchilkeedllnnjfigkhhadlff
agepkkdokhlaoiaenedmjbfnblfdiboc
epepbcdeelckgplpmmmnmjplbeipgllo
makeekhnfplggoaiklkphfopajegajci
cahdpfhnokmnnjhoaoliabdbcbbokmgc
mmpfmolbdhdfoblfggigchncdgmdnjha
knejepegjmjmjlhficbikmblnbemdpke
cjlabngphhjjdapemkdnpgkpebkpjbbe
jeaebbdndojkbnnfcaihgokhnakocbnf
bajoeadpdidoahbhphmhejmbdmgnbdci
goiffchdhlcehhgdpdbocefkohlhmlom
djkddblnfgendjoklmfmocaboelkmdkm
codgofkgobbmgglciccjabipdlgefnch
cicnbbdlbjaoioilpbdioeeaockgbhfi
mchacgmgddefeohkjobefhihbadocneh
oelcnhfgpdjeocflhhfecinnpjojeokp
fllcifcfhgmmfpogmpedgbjccnjalpjo
fmgaogkbodhdhhbgkphhbokciiecllno
dkbpkjhegfanacodkmfjeackckmehkfp
jooiimddfkjoomennmpjabdbbpdocjng
dekjibpkbhgbnmnfibnibnjoccaphfog
mnamhmcgcfflfjafflanbhbfffpmkmmm
ambcheakfbokmebglefpbbphbccekhhl
nmaegedpdmepbkahckadmaolllgmogma
doeomodlafdbbnajjllemacdfphbbohl
meobjhkdifjealkiaanikkpajiaalcad
kfdopiiledmclnopmihkclnfgdiggjna
cfgiodgnkinmacjkgjgdejeciohojglp
okepehobneenpbhiendcjcanjodhmcbj
cdgonefipacceedbkflolomdegncceid
bgkdocoihppjkdfaghndpjlfoehjcmka
ldmnodpmebcfcdkejkdakphbcjnmejlf
pdfladlchakneeclhmpoboohikpbchkj
gipnpcencdgljnaecpekokmpgnhgpela
idholfkkmfccbondfiabhlmdfeamnnaj
bpgaffohfacaamplbbojgbiicfgedmoi
jdehnhjckcbfdkgnlbfjokofagpbbdgl
dijcdmefkmlhnbkcejcmepheakikgpdg
gndlcpbcmhbcaadppjjekgbhfhceeikm
lepdjbhbkpfenckechpdfohdmkhogojf
hbjeophpjnopmeheabcilmgdhnnjbmbo
dlfjoijnhjeagkenhbililbdiooginng
kolgdodmgnnhnijmnnidfabnghgakobl

Edge – Shady Panda

edohfgmjmdnibeihfcajfclmhapjkooa
pdjpkfbpeniinkdlmibcdebccnkimnna
hmpjibmngagmkafmijncjokocepchnea
kljbaedmklfnlgfmmbodnckafhllkjnd
lmppkgmbapjgihlpadknmfalefnfnfnd
ldghoefcghcinacfneopmnechojlhldf
mgjfjcimpkdjgeldkcaoboiojmlcleka
aghafppaelpjbjajpgcogcojcbmappoi
kgdjeaonamhfooejllllfpeappcgfpod
knjgknhkgmedmajpkhooaagjgfgbcndo
apoklfecapckgpbbcpaiebemaghmkncf
podfjomopoejmlkfnhanlmlagcnlappd
idngjfdlfbfgecemidnhbdcogggnjkpg
kghabofklgjfnipgkjadlogcjbebkeid
fmmfeaoidanfcipomjfolmchjdnhmaio
cfmfokegjjljmdcdpnmlfajlddngkoah
eoimljninkkepafoijpgbedkkieobfek
ojmaccnnagaiockckbcpdldhnifkibcah
bhoebgegnjoehioianjnjakeeggajanb
edojphplonjclmfckdiolpahpgcanjnh
leaglmohfmgdengbciphnodmcgfgdgnf
ljdhejdbbogemelgkihbabifpfdfomcc
hfokkkgobhlkcagflcbgcokdbnknfngo
hilgkhepkfjdkkdigphhcgmghefdledg
jipclfaahkhinbelbojjblmbcpkaipko
cmckpheolajgbmhlfhgelajhhfgjbhpk
jjdhjfgoadphekgihokkigfghndfmffb
nelegdbdfopcgkignnifhdoiapldlhpf
dnojfjfegklgconkoekfkaajejmdgdkj
nnceocbiolncfljcmajijmeakcdlffnh
dacliiapfipnlipdmifioaijepgmhdga
cpbbiepjnljbnngpepgeaojjeneacpld
ocopipabchoopeppmgiigphgbicocoea
gfechfioaanebemclajhfgkfaopcaibo
hoclolhilhbecpefaignjficiaaclpop
ibmdocjlknaopfecmnojomdlbeadpdnb
ckdbfeccfocmhdclmmofmheljglmhhne
gddkghdkhhlihaabphhnjbhdoiifhcpa

Firefox – Shady Panda

{34b0d04c-29cf-473c-bb6c-c2fe94377b99}
{7cc10397-c6f4-4a27-a1e7-83b870dd6cab}
nickyfeng2@edgetranslate[.]com
1305302314@qq[.]com
mail@imba97[.]cn
{99d4bddd-5452-4216-83bc-fcd57857b6fb}
{f7d2c8aa-e06e-4117-8b99-52a145eb7d23}
{5f246670-f5e2-45ff-b183-be21cbeb065a}
{c257a965-0bf8-4934-bf85-9ebf761d1cf8}

Opera – GhostPoster

Google™ Translate by charliesmithbons

翻訳元: https://www.koi.ai/blog/darkspectre-unmasking-the-threat-actor-behind-7-8-million-infected-browsers