Le « réseau fantôme » de YouTube diffuse un logiciel espion via 3 000 fausses vidéos.

La société de cybersécurité Check Point Research (CPR) a mis au jour le réseau Ghost, une opération de distribution de logiciels malveillants très sophistiquée, à grande échelle et motivée par des considérations financières. Actif depuis 2021, sa production de vidéos malveillantes a triplé de façon spectaculaire en 2025, démontrant une augmentation inquiétante de son efficacité et de son ampleur.

L'enquête de CPR a permis d'identifier et de signaler plus de 3 000 vidéos malveillantes, ce qui a conduit à un partenariat direct avec Google pour leur suppression massive et la perturbation des activités criminelles.

D'après l'analyse de CPR, le succès du réseau repose sur sa structure avancée, modulaire et basée sur les rôles, conçue pour résister aux interdictions de plateformes. Cela signifie que l'ensemble de l'opération est divisé en parties spécialisées et remplaçables (modules), où les rôles sont répartis en trois catégories principales :

Comptes vidéo :

Ce sont les principaux points de distribution, généralement des chaînes légitimes piratées (certaines avec un grand nombre d'abonnés, comme @Afonesio1) dont le contenu original est supprimé. Ils publient ensuite de fausses vidéos, de type tutoriel, comme principal appât.

Comptes postaux :

Ces techniques exploitent des fonctionnalités de plateformes moins surveillées, comme la messagerie communautaire de YouTube, pour diffuser des liens de téléchargement mis à jour et les mots de passe nécessaires aux fichiers malveillants, garantissant ainsi la viabilité de l'attaque même si les liens vidéo sont supprimés.

Comptes Interact :

Ces systèmes utilisent des robots automatisés pour inonder les commentaires de faux témoignages positifs, gonflant artificiellement l'engagement autour de la vidéo et créant une illusion cruciale de légitimité.

Cette division spécialisée permet aux opérateurs de remplacer rapidement un compte banni sans perturber l'ensemble de la campagne. La vidéo malveillante la plus visionnée de l'étude ciblait Adobe Photoshop et a cumulé 293 000 vues et 54 commentaires.

L'opération dans son ensemble constitue un exemple flagrant de cybercriminalité à motivation financière, ciblant les utilisateurs recherchant des biens numériques illicites, tels que des logiciels piratés (comme Adobe Photoshop, Microsoft Office) ou des codes de triche pour jeux vidéo (comme Roblox ). L'infection débute lorsqu'un utilisateur clique sur un lien malveillant le dirigeant vers un fichier hébergé sur des services cloud de confiance (comme Dropbox, MediaFire ou Google Drive) afin de contourner les mesures de sécurité.

Les criminels utilisent ensuite l'ingénierie sociale pour inciter la victime à télécharger un fichier protégé par mot de passe et, surtout, à désactiver son logiciel antivirus comme Windows Defender . La charge utile finale est un dangereux logiciel malveillant de type vol d'informations (principalement Lumma Stealer – avant sa neutralisation – ou Rhadamanthys Stealer ) conçu pour dérober des données sensibles, notamment les identifiants de navigation, les cookies de session et les informations des portefeuilles de cryptomonnaies.

Pour assurer leur persistance, les acteurs malveillants renouvellent rapidement leur infrastructure de commande et de contrôle (C2) tous les quelques jours afin d'échapper à la détection automatisée ou au blocage. Il convient de noter que CPR n'a publiquement attribué ce réseau à aucun groupe APT connu.

Il convient de noter que ce concept n'est pas nouveau ; les chercheurs indiquent qu'il est similaire au réseau Stargazers Ghost Network, précédemment découvert sur GitHub. La principale leçon, selon Check Point Research, est de reconnaître « la facilité avec laquelle la confiance peut être manipulée à grande échelle et l'efficacité de la collaboration pour contrer ce phénomène », ce qui rend la défense coordonnée indispensable.