Cette opération au long cours s’appuie sur cinq extensions piégées. Trois ont été mises en ligne entre 2018 et 2019, dont Clean Master, qui a dépassé les 200 000 installations.

Pendant des années, ce nettoyeur de cache et de données, censé accélérer le navigateur et protéger la vie privée, a rempli sa promesse, au point d’obtenir les labels « à la une » et « vérifiée » sur les marketplaces de Chrome et d’Edge.​

Puis, courant 2024, ShadyPanda, qui contrôlait discrètement l’extension, a diffusé une mise à jour malveillante, infectant automatiquement les centaines de milliers d’utilisateurs via le mécanisme de mise à jour automatique des navigateurs. Le code malveillant fraichement injecté offre une surveillance complète du navigateur et interroge chaque heure une infrastructure de commande pour récupérer de nouvelles instructions distillées par les assaillants.

Une caractéristique particulièrement sournoise qui alerte les chercheurs : « Il ne s’agit pas d’un logiciel malveillant à fonction fixe, mais d’une porte dérobée. ShadyPanda décide de son fonctionnement. Aujourd’hui, il s’agit de surveillance ; demain, ce pourrait être un ransomware, un vol d’identifiants ou de l’espionnage industriel. »