Un réseau fantôme sur YouTube a distribué des malwares via des milliers de vidéos

Génération NT / Actualités / Un réseau fantôme sur YouTube a distribué des malwares via des milliers de vidéos

Publié le 24 octobre 2025 à 17:50 par Jérôme G.

Plus de 3 000 vidéos, déguisées en cracks de logiciels ou en astuces de jeux, ont été à l'origine de la diffusion d'infostealers. Un YouTube Ghost Network qui s'appuyait sur des comptes compromis et de faux commentaires. supprimées par Google. Le réseau utilisait des comptes compromis et de faux commentaires pour installer des infostealers comme Rhadamanthys et Lumma.

Active depuis au moins 2021, une vaste campagne de distribution de malwares a été démantelée sur YouTube. Surnommée le YouTube Ghost Network par les experts en cybersécurité de Check Point Research qui l'ont mise au jour, l'opération reposait sur un écosystème coordonné de comptes compromis et de fausses interactions.

L'objectif était de piéger les utilisateurs à la recherche de logiciels piratés ou d'astuces de jeux vidéo pour leur dérober leurs données sensibles. Google a confirmé avoir supprimé la majorité des 3 000 vidéos identifiées par les chercheurs.

Pour la distribution d'infostealers

Le réseau se composait de trois types de comptes : les comptes vidéo (souvent compromis) qui publiaient des tutoriels piégés, les comptes d'interaction qui inondaient les sections de commentaires de louanges pour rassurer les victimes, et les comptes de publication qui partageaient les liens de téléchargement et les mots de passe d'archives piégées via les publications communautaires de YouTube.

Le but principal de l'opération était de distribuer des infostealers, des malwares conçus pour voler des informations sensibles. Les plus répandus au sein du réseau étaient Lumma, puis ultérieurement Rhadamanthys. Ces programmes malveillants exfiltraient les identifiants, les portefeuilles de cryptomonnaies et les données système des victimes vers des serveurs de commande et de contrôle.

Pour attirer les victimes, les vidéos proposaient des versions prétendument crackées de logiciels populaires, comme Adobe Photoshop ou le logiciel de production musicale FL Studio. La vidéo la plus vue, ciblant Photoshop, a accumulé près de 300 000 vues avant son retrait.

Un réseau particulièrement résilient

Si le réseau était actif de longue date, Check Point a noté une accélération spectaculaire en 2025 où la création de vidéos de la campagne d'attaque a triplé. Des comptes bannis pouvaient être rapidement remplacés sans perturber l'opération globale.

Les attaquants utilisaient des mises à jour fréquentes de leurs charges utiles pour déjouer les détections antivirus, conseillant même aux victimes de... désactiver temporairement Windows Defender avant d'ouvrir les archives téléchargées et exécuter leur contenu.

Jérôme G.

Journaliste GNT spécialisé en nouvelles technologies

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Poster un commentaire