Contexte — The Register (Carly Page) rapporte que Google, en collaboration avec Check Point, a supprimé des milliers de vidéos malveillantes publiées sur YouTube par un réseau baptisé ‘YouTube Ghost Network’, actif depuis 2021 et fortement intensifié en 2025.
Le mode opératoire reposait sur des comptes YouTube légitimes compromis et des faux comptes orchestrés pour publier des tutoriels promettant des copies piratées de logiciels (Photoshop, FL Studio, Microsoft Office, Lightroom, outils Adobe) et des cheats de jeux, notamment pour Roblox 🎮. Les victimes étaient incitées à désactiver leur antivirus puis à télécharger des archives depuis Dropbox, Google Drive ou MediaFire contenant des infostealers comme Rhadamanthys et Lumma, qui exfiltraient identifiants, portefeuilles crypto et données système vers des serveurs de commande et contrôle (C2). Certains contenus redirigeaient aussi vers des pages de phishing hébergées sur Google Sites visant des utilisateurs de cryptomonnaies.
L’opération exploitait des signaux de confiance sociaux — vues, likes, commentaires — via une structure modulaire: des comptes pour uploader les vidéos, d’autres pour inonder les commentaires d’éloges et émojis, et un troisième groupe pour publier des ‘community posts’ avec liens et mots de passe. Un canal détourné de 129 000 abonnés a diffusé un faux Photoshop totalisant près de 300 000 vues et plus de 1 000 likes. Au total, plus de 3 000 vidéos ont été retirées, la volumétrie en 2025 ayant triplé par rapport aux années précédentes; la vidéo la plus vue ciblait Photoshop (~300 000 vues).
Pour rester résilient, le réseau faisait pivoter les charges utiles et les liens afin de devancer les retraits, reconstituant rapidement l’écosystème après les bannissements. Check Point note un parallèle avec le ‘Stargazers Ghost Network’ sur GitHub, où de faux comptes développeurs hébergent des dépôts malveillants. Cette campagne illustre un glissement des vecteurs de diffusion: de l’e-mailing et des drive-by vers l’exploitation de la crédibilité des plateformes grand public 🎬.
• IOCs: non fournis par la source. • TTPs observés: compromission et détournement de comptes YouTube; ingénierie sociale via faux tutoriels et engagement simulé (likes/commentaires/émojis); désactivation forcée de l’AV; hébergement des charges sur services cloud grand public (Dropbox, Google Drive, MediaFire); exfiltration d’identifiants/crypto/données système vers C2; rotation des payloads et liens; phishing sur Google Sites; ciblage des cracks Adobe/Microsoft et cheats Roblox. En somme, il s’agit d’un article de presse spécialisé relatant un démantèlement majeur et décrivant une tendance de distribution de malware via des plateformes sociales.
🔗 Source originale : https://www.theregister.com/2025/10/23/youtube_ghost_network_malware/