Mozilla Fake Extensions Investigation
Actualités › Enquêtes
Enquête • 6 à 8 min de lecture

Plus de 150 fausses extensions Mozilla — Une seule infrastructure et des campagnes publicitaires payantes

Les médias ont accusé les « ours russes » d'être à l'origine de plus de 150 fausses extensions Mozilla. Nos investigations ont mis en évidence une infrastructure nigériane (adresse IP 185.208.156.66), des kits de phishing réutilisés, ainsi que la manière dont des articles rémunérés ont contribué à propager ce mythe.

4 min de lecture· Mise à jour Mars 2026· PhishDestroy Intelligence
Lire l'article complet sur le blog
Publié à l'origine le Moyen — PhishDestroy

Le récit trompeur

Une histoire sur « Plus de 150 fausses extensions Mozilla » Cette histoire, liée à une prétendue « piste russe », a été largement relayée par les principaux médias spécialisés dans la cryptomonnaie et la sécurité. Cela peut sembler dramatique, mais notre analyse montre que ce récit est trompeur — et pire encore, cela protège les véritables coupables.

Plus de 150 extensions de mauvaise qualité sur un seul backend

Toutes les extensions de cette campagne étaient les suivantes :

  • Manque d'originalité, du copier-coller.
  • Seuls les logos et les noms changeaient.
  • Le tout relié à un backend unique.
Adresse IP du serveur : 185.208.156.66
Le domaine du backend était alladdsite[.]digital/app.php. La plupart des domaines associés à cette adresse IP sont désormais inactifs, mais des archives ont conservé des instantanés grâce à Urlscan et WebArchive.

Nos mesures face à cette campagne

En tant que groupe bénévole spécialisé dans la lutte contre le phishing et le démantèlement des infrastructures d'escroquerie, nous :

  • Nous avons transmis des rapports directement à Mozilla afin de signaler des extensions malveillantes.
  • Transmis à Là-bas, en sollicitant l'aide de professionnels afin d'accélérer la mise en œuvre de cette interdiction.
  • Nous avons publié un rapport sur Chainabuse afin d'en faire connaître l'existence au sein de la communauté.
  • Des millions de phrases de récupération vides ont été injectées dans le système d'administration des attaquants afin de corrompre les données volées.

Pourquoi il ne s'agit pas d'une infrastructure « russe »

Les cybercriminels russophones ont généralement recours à :

  • Backends distribués (Cloudflare Workers, Firebase, Amazon, liens uniques par campagne).
  • Obfuscation et redondance pour éviter les points de défaillance uniques.

Au contraire, cette campagne a montré que :

  • A Fournisseur d'hébergement nigérian.
  • Domaines voisins liés à des escroqueries bancaires, à de faux portefeuilles de cryptomonnaies et à des escroqueries liées à de fausses livraisons.
  • Un compte Telegram recevant des données volées liées à un opérateur nigérian.
« Les groupes russes mettent en place des infrastructures sophistiquées. Celle-ci était peu coûteuse, centralisée et rudimentaire — exactement ce que nous avons déjà observé sur des serveurs nigérians. »

Le problème des médias payants

Les placements publicitaires payants ont de graves conséquences :

  1. Un article rémunéré est publié dans un média réputé.
  2. Des centaines de petits sites, de blogs et de chaînes Telegram le reprennent ou le traduisent.
  3. En quelques jours, cela se transforme en un énorme récit mensonger qui donne l'illusion d'être crédible.
« Les victimes voient "la piste russe", pensent que l'affaire est classée et cessent de signaler les faits aux autorités. Les véritables coupables restent impunis. »

Exemple : Angel Drainer

Tous les grands médias ont fait leurs gros titres sur « Angel Drainer a été mis hors service après l'identification des développeurs. » Mais était-ce vrai — ou simplement un autre placement publicitaire répété jusqu’à ce qu’il semble crédible ? Pour les criminels, acheter des articles ne représente qu’une bagatelle; pour les victimes, cela change tout.

Les entreprises de cybersécurité s'occupent elles-mêmes de leur communication

Les entreprises spécialisées dans la cybersécurité dépensent des dizaines de milliers de dollars pour des articles les concernant, traitant de leurs recherches et de leur impact. Cela soulève des questions fondamentales :

  • Pourquoi une véritable équipe de cybersécurité doit-elle payer pour bénéficier d'une couverture ?
  • Essaient-ils de brouiller les pistes du véritable pirate informatique ?
  • Ou bien utiliser l'identité du pirate informatique à des fins de chantage ou pour en tirer un avantage concurrentiel ?
  • Le but est-il de renforcer la confiance — ou de manipuler les perceptions à des fins lucratives ?
« Si la cybersécurité devient un simple jeu de relations publiques, où les faits sont façonnés par celui qui paie le plus, alors la confiance dans ce domaine s'effondrera. »

Les données du marché

Cette pratique n'est pas un secret :

  • Sur Fiverr, Upwork et les plateformes spécialisées dans les relations publiques, vous pouvez acheter directement des « articles invités ».
  • Les fournisseurs envoient des feuilles Google Sheets contenant des dizaines de points de vente et de prix, y compris ceux de marques de cybersécurité bien connues.
  • Certains promettent : « moyennant un supplément, pas d'étiquette publicitaire ».

Parmi les objectifs déclarés pour l'achat d'articles, on peut citer :

  • Création de liens (référencement naturel).
  • Trafic et ventes.
  • Notoriété de la marque.
  • Gestion de la réputation (masquage des éléments négatifs).
  • Vérification des réseaux sociaux.
  • Listes de publications pour les demandes de visa.

Les coûts mentionnés comprennent notamment 20 000 $ pour des créneaux d'interviews rémunérés auprès des principaux médias spécialisés dans les cryptomonnaies.

« Ce n'est pas du journalisme. C'est un marché — où la crédibilité s'achète et se vend. »

Les affaires contre les mensonges

Publier du contenu payant n'est pas illégal : c'est une activité commerciale. Mais lorsque cela franchit la ligne... diffuser de fausses allégations, détourner le cours des enquêtes et faire passer des opérations de relations publiques pour des faits avérés, cela fait alors partie du problème.

Conclusion

PhishDestroy est une initiative bénévole en matière de cybersécurité qui ne perçoit aucune rémunération, ne diffuse pas de publicités et ne génère aucun profit. Les faits sont clairs :

  • Plus de 150 extensions Mozilla redirigées vers un seul serveur d'hébergement situé au Nigeria.
  • Les données ont été transmises à un compte Telegram nigérian.
  • Le récit de la « piste russe » est une invention.
  • La couverture médiatique payante a amplifié cette invention jusqu'à ce qu'elle passe pour la vérité.
  • Même les entreprises de cybersécurité dépensent de l'argent pour se faire de la publicité.
« Vendre de la publicité, c'est du business. Vendre des mensonges comme s'il s'agissait de faits protège les criminels. Et quand même le secteur de la cybersécurité se met à vendre des récits, ce sont les victimes — et la justice — qui en font les frais. »

Avertissement

Nous n'accusons aucun individu, aucune entreprise ni aucun média. Tous les faits proviennent de sources ouvertes et peuvent être vérifiés à l'aide d'archives publiques, de numérisations et de rapports. La vraie question est la suivante : Pourquoi ces récits sont-ils contrôlés et amplifiés ? À qui profite le fait qu’une société de sécurité inconnue publie une méga-enquête erronée qui détourne l’attention des véritables responsables ?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

Partager cette enquête

X / Twitter Telegram Reddit LinkedIn

Enquêtes connexes

Keitaro TDS: 1,500 Panels Exposed, Zero Legit Uses
ENQUÊTE
Keitaro TDS : 1 500 panneaux exposés, aucune utilisation légitime
Steam BlockBlasters Malware: Platform Negligence Exposed
ENQUÊTE
Le logiciel malveillant « BlockBlasters » sur Steam : la négligence de la plateforme mise en lumière
Scammers Exposed: 4 Scam Backends Dissected
ENQUÊTE
Les escrocs démasqués : analyse de quatre infrastructures d'escroquerie
Avis de transparence. PhishDestroy est un projet à but non lucratif mené par des bénévoles. Nos recherches peuvent refléter un parti pris inhérent à l'encontre des infrastructures d'escroquerie et des services qui les rendent possibles. Nous encourageons les lecteurs à évaluer l'ensemble de ces informations de manière critique et indépendante. Lire notre déclaration de transparence complète →