Investigadores revelaron una operación masiva y silenciosa de distribución de malware a través de YouTube, denominada “YouTube Ghost Network”.
Esta red publicó más de 3,000 videos en canales falsos o comprometidos, atrayendo a los usuarios con promesas de software gratuito, versiones crackeadas o trucos para videojuegos, que en realidad conducían a enlaces maliciosos o páginas de phishing.
Cómo opera la “YouTube Ghost Network”
El funcionamiento de esta red es similar al de la “Stargazers Ghost Network”, una infraestructura previamente identificada en GitHub.
En el caso de YouTube, los atacantes dividen sus operaciones en tres tipos de cuentas con funciones específicas:
Video Accounts: Canales secuestrados o creados por los atacantes para subir videos que ofrecen software o juegos pirateados.
Post Accounts: Publican mensajes en la pestaña “Comunidad” con los mismos enlaces y contraseñas.
Interact Accounts: Llenan los comentarios con reseñas falsas para crear una sensación de legitimidad y confianza.
Los videos suelen incluir enlaces hacia archivos protegidos con contraseña alojados en plataformas legítimas como Dropbox, Google Drive o MediaFire, e incluso instruyen a los usuarios a desactivar temporalmente Windows Defender antes de ejecutar el supuesto software.
Una red diseñada para resistir
Uno de los elementos más preocupantes de la “YouTube Ghost Network” es su estructura resiliente.
Aunque YouTube eliminó miles de videos tras la investigación, la red está diseñada para seguir activa incluso tras bloqueos parciales.
Cada grupo de cuentas cumple un rol independiente, lo que permite a los atacantes reconstruir el ecosistema rápidamente cuando alguna parte es eliminada.
Los investigadores también identificaron una constante actualización de los enlaces, archivos y servidores, acompañada de tácticas de evasión como:
Archivos comprimidos y protegidos con contraseña.
Uso de múltiples plataformas de alojamiento.
Actualizaciones frecuentes del malware y de la infraestructura de comando y control (C2).
Malware distribuido a gran escala
- La mayoría de los archivos maliciosos detectados pertenecen a familias de infostealers, principalmente Lumma Stealer y Rhadamanthys.
- Estos programas están diseñados para robar contraseñas, cookies del navegador, credenciales bancarias y datos sensibles.
- Los atacantes disfrazan el malware como herramientas legítimas, logrando que el usuario sea quien, voluntariamente, ejecute la instalación maliciosa.
Crecimiento sostenido desde 2021
Aunque la red está activa desde 2021, su actividad se triplicó durante 2025, lo que refleja una clara tendencia en la adopción de plataformas populares para la distribución de malware.
Tras la colaboración entre Check Point y Google, más de 3,000 videos fueron eliminados, aunque los especialistas advierten que los responsables probablemente reanuden sus operaciones con nuevas variantes.
Lecciones y recomendaciones
El caso de la “YouTube Ghost Network” demuestra que las campañas de malware evolucionan hacia plataformas legítimas y de alto tráfico, aprovechando la confianza del usuario.
Ya no basta con desconfiar de correos sospechosos: ahora los riesgos se ocultan en los canales más cotidianos de internet.
Recomendaciones para usuarios y empresas:
Evitar descargar software desde enlaces en videos o comentarios.
No desactivar soluciones antivirus, aunque un video lo indique.
Descargar software únicamente desde sitios oficiales.
Capacitar a los equipos en detección de fraudes digitales.
Implementar monitoreo constante de amenazas en redes sociales y plataformas públicas.
Conclusión
La “YouTube Ghost Network” evidencia una nueva fase en la evolución del cibercrimen: ataques cada vez más sofisticados que se camuflan en entornos legítimos.
Las organizaciones deben reforzar sus estrategias de educación digital, análisis de comportamiento y detección temprana, para reducir los riesgos que plantean estas campañas altamente adaptables.
