DarkSpectre: Chinesische Cyberspione infizierten 8,8 Millionen Browser

Eine chinesische Hackergruppe hat jahrelang Millionen Nutzer über manipulierte Browser-Erweiterungen ausspioniert. Das Ziel: Unternehmensgeheimnisse aus Videokonferenzen.

Von unserem Digital Productivity Team
Samstag, 03. Januar 2026

Ein massiver Cyber-Spionageangriff erschüttert die IT-Sicherheitsbranche. Die als “DarkSpectre” identifizierte, mutmaßlich chinesische Gruppe infiltrierte über 8,8 Millionen Browser wie Chrome, Edge und Firefox. Ihr Fokus lag auf der systematischen Ausspähung von Geschäftsgeheimnissen aus Videokonferenzen.

Die lautlose Infiltration von 8,8 Millionen Rechnern

Sicherheitsforscher von Koi Security enthüllten diese Woche eines der größten dokumentierten Spionage-Netzwerke seiner Art. Im Gegensatz zu kurzfristigen Cyber-Angriffen operierte DarkSpectre fast sieben Jahre im Verborgenen. Die Methode: scheinbar harmlose Browser-Erweiterungen.

Diese Add-ons – oft als Produktivitäts-Tools wie Tab-Verwalter oder Werbeblocker getarnt – funktionierten monate- oder jahrelang einwandfrei. So umgingen sie Sicherheitsprüfungen in offiziellen Stores und bauten Vertrauen bei Nutzern auf. Erst bei ausreichend vielen Installationen aktivierte die Gruppe versteckten Schadcode. Weltweit sind rund 8,8 Millionen Nutzer betroffen, auf Windows-, macOS- und Linux-Systemen.

Unternehmen stehen aktuell vor einer neuen Bedrohung: Manipulierte Browser‑Erweiterungen, die Meeting‑Links und Teilnehmerdaten abgreifen. Ein neues, kostenloses E‑Book erklärt praxisnah, wie Sie solche Hintertüren erkennen, Mitarbeitende sensibilisieren und mit einfachen technischen sowie organisatorischen Maßnahmen Angriffe verhindern. Perfekt für IT‑Verantwortliche, Geschäftsführer und Datenschutzbeauftragte, die ihre Videokonferenzen schützen wollen. Jetzt kostenloses Cyber-Security-E-Book sichern

“Zoom Stealer”: Der gezielte Angriff auf Firmengeheimnisse

Besonders alarmierend ist die Unterkampagne “The Zoom Stealer”. Während viele Hacker auf Kreditkartendaten abzielen, konzentriert sich diese Variante auf Wirtschaftsspionage.

Die Erweiterungen erkennen, wenn Nutzer Plattformen wie Zoom, Google Meet oder GoTo Webinar aufrufen. Anschließend stehlen sie im Stillen:
* Meeting-Links mit eingebetteten Zugangstokens,
* Teilnehmerlisten und Gastgeber-Daten,
* Metadaten wie Themen, Termine und Dauer.

“Das ist keine Consumer-Betrugsmasche – das ist Infrastruktur für Unternehmensspionage”, so die Forscher. “Angreifer könnten so sensible Verhandlungen belauschen, interne Meetings infiltrieren oder Firmenstrukturen analysieren. Die Daten werden per WebSocket in Echtzeit an Command-and-Control-Server übertragen, viele davon auf Alibaba Cloud gehostet.

Tarnung und “Schläfer”-Erweiterungen als Erfolgsrezept

DarkSpectres Erfolg basiert auf operativer Disziplin und parallelen Kampagnen:
* ShadyPanda (5,6 Mio. Nutzer): Fokussiert auf Suchanfragen-Manipulation, dient als Basis für komplexere Angriffe.
* GhostPoster: Nutzt versteckten JavaScript-Code in Logo-Dateien, um Erkennung zu umgehen.
* The Zoom Stealer (2,2 Mio. Nutzer): Die Spionage-Einheit für Videokonferenzen.

Besorgniserregend: Die Forscher fanden über 85 “Schläfer”-Erweiterungen, die bereits installiert sind, aber noch keinen Schadcode aktiviert haben. Sie warten nur auf das Aktivierungssignal der Hacker.

Analyse: Das schwächste Glied sind Browser-Erweiterungen

Die Enthüllung zeigt eine fundamentale Schwachstelle im digitalen Arbeitsalltag: das Browser-Erweiterungs-Ökosystem. Zwar haben Google und Microsoft ihre Browser-Kerne zuletzt deutlich abgesichert – zuletzt mit wichtigen Updates im Dezember 2025. Die Extension-Stores bleiben jedoch schwer zu kontrollieren.

“Das ‘Einmal-prüfen, jederzeit-aktualisieren’-Modell der Stores ist kaputt”, analysieren Experten. “Gruppen wie DarkSpectre nutzen aus, dass eine Erweiterung bei der Veröffentlichung sauber sein kann, um Wochen später bösartigen Code nachzuladen.”

Der Fokus auf Videokonferenzen spiegelt die post-pandemische Realität wider, in der kritische Geschäftsgespräche fast ausschließlich im Browser stattfinden – ein perfektes Ziel für staatliche oder industrielle Spionage.

Was Nutzer und Unternehmen jetzt tun müssen

In den kommenden Wochen werden Google und Microsoft die identifizierten Erweiterungen aus ihren Stores entfernen. Doch: Eine Löschung aus dem Store deinstalliert die Erweiterung nicht automatisch vom lokalen Rechner.

Sicherheitsexperten raten allen Nutzern – besonders in Unternehmen – zu einer sofortigen Überprüfung:
1. Alle installierten Erweiterungen prüfen (in den Browser-Einstellungen).
2. Jede nicht zwingend notwendige Erweiterung entfernen.
3. Besonders vorsichtig bei Erweiterungen unbekannter Entwickler sein.

Langfristig dürfte der Vorfall zu strengeren Regeln führen. Browser-Hersteller werden wahrscheinlich die “Manifest”-Anforderungen verschärfen und den Einsatz von remotegeladenem Code einschränken. Denkbar sind auch spezifischere Berechtigungsabfragen, die explizit den Zugriff auf Videokonferenz-Seiten erfragen, statt pauschal “Alle Daten lesen” zu erlauben.

PS: Wenn Erweiterungen heimlich Meeting-Links und Teilnehmerdaten abgreifen, reichen allein technische Updates oft nicht. Das kostenlose E‑Book “Cyber Security Awareness Trends” zeigt konkrete Prüflisten, Awareness‑Maßnahmen und organisatorische Schritte, die mittelständische und große Unternehmen sofort umsetzen können – von Kontrollmechanismen bis zur richtigen Erweiterungs‑Policy. Schützen Sie Ihre sensiblen Online‑Meetings effektiv. Jetzt kostenloses Cyber-Security-E-Book sichern