Das Jahr hat kaum angefangen, schon bekommen wir eine fette Ganoven-Geschichte. Die Rede ist von DarkSpectre, das derzeit die Runde macht. Es geht um eine der größten Kampagnen, die man Hackergruppen zurechnen kann. Ohne den Horst wäre ich da wohl dran vorbei gelaufen. Der bezieht sich auf diesen Artikel bei All About Security. Und die wiederum beziehen sich auf die Sicherheitsforscher von KOI. Was ist denn da überhaupt passiert?
DarkSpectre: Das große Konzert
Wie ist das denn sonst bei weltweiten Hackangriffen? Die brechen herein und überfluten in Windeseile ahnungslose User im Internet. Ihr habt davon ja immer wieder gehört, richtig? Bei DarkSpectre ist das anders. Geschlagene 7 Jahre haben sich die Angreifer Zeit gelassen. Wofür? Sie haben den Berichten zufolge mehr als 8,8 Millionen Anwender von Google Chrome, Mozilla Firefox und Microsoft Edge kompomittiert. Soweit nichts neues. Und dann kommt der Hammer:
Sie taten es nicht etwa, indem sie ahnungslose Internetnutzer mit gefälschten Webseiten an die Angel nahmen. Nein, sie nutzen Erweiterungen, Plugins, Add-Ins. Nennt es, wie ihr wollt. Die ganzen Dinger, mit denen man sich den Browser anpassen kann. Die Rede ist von um die 300 Erweiterungen, die man ganz normal über den jeweiligen Store dem Browser hinzufügen kann. Und die müssen wohl auch alle ziemlich gut gewesen sein. Denn es wurden jede Menge positive Bewertungen gesammelt.
Die insgesamt zentral gesteuerte Aktion über all die Jahre umfasste sogar verschiedene Zweige. Mehr durch Zufall stieß man auf den größten Fisch namens ShadyPanda, der wohl über 5 Millionen User kompromittierte. ZoomStealer tat es mit über 2 Millionen Usern, und der Rest entfiel auf GhostPoster. Ja, das sagt euch vielleicht nichts. Aber vielleicht habt ihr mal von der Erweiterung WeTab gehört. Über 80 Erweiterungen soll DarkSpectre im Laufe der Jahre in Umlauf gebracht haben.
Wo kommt das denn schon wieder her?
Hinter all dem steckt viel Geld. So viel Geld, dass es kein Problem sein darf, es notfalls zu drucken. KOI schreibt direkt davon, dass sie chinesische Verbindungen annehmen. Die verwendete Infrastruktur ist die Alibaba Cloud aus dem chinesischen Hangzhou. Sie haben auch Code-Artefakte mit chinesischen Zeichen gefunden. Und es sind wohl Zeitstempel gemäß chinesischer Zeitzone enthalten. Und da sind wir doch bei einer so genannten „State-sponsored campaign“.
Woran erinnert mich das denn nur? War es sowas wie APT28? Oder halt: War das Cozy Bear? Letzteres ist wohl auch chinesischen Ursprungs gewesen. Und ich stehe ja ohnehin mit China auf Kriegsfuß, nachdem sie immer mal meinen Blog kaufen wollen. Und im IV. Quartal 2025 hatte ich enorme Zugriffe aus dem „Reich der Mitte“:
Also ja: Ich halte das grundsätzlich für möglich, dass in China gerade irgendwas ablief, und zwar in großem Stil. Und warum soll da nicht einfach nur ein Timer abgelaufen sein, der dann DarkSpectre einfach hat loslaufen lassen? Ob das irgendwas mit den vielen Zugriffen auf meinen Blog zu tun hat? Keine Ahnung. Ich hoffe es erst einmal nicht. Bis auf ein paar, die ich eben nicht abgefangen bekomme, habe ich China eigentlich nun ausgesperrt.
Was könnt ihr denn so tun?
Guckt mal in eure Erweiterungen, was bei euch so läuft:
- Erweiterungen in Google Chrome über das Puzzle-Icon in der Menüleiste oder Einstellungen -> Erweiterungen
- Erweiterungen in Mozilla Firefox über: siehe Chrome
- Und Erweiterungen in Microsoft Edge: Lustig, da ist es genau so
Guckt mal nach, ob euch die Erweiterungen darin bekannt vorkommen. Ich habe meinen Passwort-Manager, den Werbeblocker und die RSS-Erweiterung meines RSS Feed Readers drin. Ich hoffe einfach mal, dass die nicht infiltriert sind. Eine absolute Sicherheit gibt es ohnehin nicht. Aber ich bringe die Erweiterungen erstmal nicht mit irgendeinem Angriff in Verbindung. Also hoffe ich zumindest.
Wenn ihr irgendeine Erweiterung dort findet, die euch irgendwie nicht geheuer ist, dann löscht sie. Da gibt es überhaupt kein Vertun. Und wenn ihr gerade dabei seid: Braucht ihr jede Erweiterung, die ihr mal in euren Browser geworfen habt? Schaut einfach mal durch. Weniger ist manchmal mehr. Oder anders gesagt: So viel wie nötig und so wenig wie möglich.
Ach ja, und die Gefahr, die für euch drin ist? Datenabfluss, Virenbefall, Missbrauch eurer Computer für Angriffe auf andere Staaten, das übliche halt. Nur eben in größerem Stil. Ihr könnt mir da viel erzählen, ihr hättet nichts zu verbergen. Ich kaufe das Argument nicht. Schaut einfach nach und räumt einfach mal auf. Das tut nicht weh. Versprochen.
Ich habe heute auch mal nachgesehen. Außer LanguageTool und mein Passwort-Manager habe ich gar keine Erweiterungen mehr aktiv. Scheint wohl auch besser zu sein.
Frohes Neues zusammen. Zeit für einen Wochenrückblick. KW 01/2026 Bewegung und Sport Gelesen Lesenswertes aus dem RSS-Reader: Bilder der Woche
Also, ich habe meine Erweiterungen immer im Blick.
Gut, das Du das hier mal auf den Tisch packst…. Hab ich nachgesehen und: aufgeatmet. Ich benutze Ghostery, U-Block origin und die (LINUX) Gnome Shell integration und eine Erweiterung um Videos lokal speichern zu können. Ghostery ist so ein anti- Tracking tool- sehr Empfehlenswert.