Una investigación de Check Point Research ha revelado la existencia de una red masiva de cuentas de YouTube comprometidas, utilizadas para distribuir malware a través de videos aparentemente legítimos. La operación, activa desde 2021 y bautizada como “YouTube Ghost Network”, ha publicado más de 3.000 videos maliciosos, con un aumento de actividad que se ha triplicado durante 2025.
Google confirmó haber eliminado la mayoría de los videos identificados, aunque el alcance de la campaña muestra cómo los atacantes están explotando la confianza de los usuarios y las señales de reputación del propio YouTube para propagar software malicioso a gran escala.
Una campaña que explota la confianza de la plataforma
Los operadores del Ghost Network secuestran cuentas legítimas y reemplazan su contenido por videos que promocionan software pirateado o trucos para juegos populares como Roblox, incluyendo enlaces de descarga que dirigen a los usuarios hacia malware tipo stealer.
Algunos de estos videos acumularon más de 200.000 visualizaciones, reforzando su credibilidad gracias a los “likes”, comentarios positivos y tutoriales aparentemente inofensivos.
“Lo que parece un simple video de ayuda puede ser en realidad una trampa cibernética perfectamente diseñada”, explicó Eli Smadja, gerente del grupo de investigación de Check Point.
Estructura delictiva y funcionamiento interno
Según el análisis, la Ghost Network no se limita a subir videos maliciosos. Opera como una red organizada y modular, con cuentas distribuidas por roles específicos que garantizan su continuidad incluso cuando YouTube elimina algunas de ellas:
- Video-accounts: suben los videos falsos e incluyen los enlaces de descarga en la descripción o los comentarios fijados.
- Post-accounts: publican mensajes en la pestaña de comunidad con enlaces a sitios externos.
- Interact-accounts: se encargan de dar “me gusta” y comentar de forma positiva para simular legitimidad y confianza.
Esta estructura basada en roles permite que la red se mantenga operativa incluso si algunas cuentas son bloqueadas, ya que otras pueden sustituirlas rápidamente sin interrumpir la campaña.
Canales y malware identificados
Los enlaces distribuidos por los videos redirigen a servicios aparentemente confiables como MediaFire, Dropbox o Google Drive, además de páginas falsas alojadas en Google Sites, Blogger y Telegraph, donde se ocultan las descargas reales detrás de acortadores de URL.
Entre las familias de malware detectadas se encuentran Lumma Stealer, Rhadamanthys Stealer, StealC, RedLine, Phemedrone y diversos loaders basados en Node.js.
Dos ejemplos destacados incluyen:
- El canal @Sound_Writer (9.690 suscriptores), comprometido durante más de un año para subir videos sobre criptomonedas que instalan Rhadamanthys.
- El canal @Afonesio1 (129.000 suscriptores), usado en diciembre de 2024 y enero de 2025 para distribuir un instalador falso de Adobe Photoshop que despliega Hijack Loader y, posteriormente, Rhadamanthys.
Una tendencia en aumento: el abuso de plataformas legítimas
El uso de YouTube como vector de distribución de malware no es nuevo, pero el caso del Ghost Network marca una nueva escala y sofisticación.
Check Point advierte que los atacantes están profesionalizando el uso de redes sociales y plataformas de confianza como vehículos de propagación, empleando sus mecanismos de participación (comentarios, recomendaciones y métricas de popularidad) para encubrir contenido malicioso.
“Los actores de amenaza están migrando hacia estrategias basadas en plataformas legítimas”, explicó Check Point. “Estas redes aprovechan la confianza inherente de cuentas auténticas y los algoritmos de interacción para ejecutar campañas persistentes y altamente efectivas”.
Recomendaciones para usuarios y creadores
- Evitar descargar software o juegos desde enlaces en descripciones o comentarios de YouTube.
- Verificar la autenticidad del canal, especialmente en tutoriales o guías que ofrecen versiones “crackeadas”.
- Mantener actualizado el software de seguridad y utilizar protección contra stealers.
- Reportar a YouTube cualquier video sospechoso que ofrezca descargas externas.
La operación YouTube Ghost Network demuestra cómo las plataformas de confianza pueden ser transformadas en instrumentos de distribución masiva de malware. Su escala y organización la convierten en un modelo de referencia para nuevas campañas de cibercrimen basadas en redes de cuentas comprometidas.
Fuente: https://thehackernews.com
