Una investigación reciente ha revelado una red de cuentas maliciosas en YouTube que desde 2021 viene publicando miles de vídeos diseñados para distribuir malware. Los ciberdelincuentes se aprovechan de la confianza y el alcance de la plataforma para engañar a los usuarios y conducirlos hacia descargas infectadas.

La llamada “Red Fantasma de YouTube”, descubierta por investigadores de Check Point, ha difundido hasta el momento más de 3.000 vídeos maliciosos, y su actividad se ha triplicado desde inicios de 2025. Google ya ha intervenido eliminando la mayoría de los contenidos fraudulentos detectados.

Una operación a gran escala con apariencia legítima

La campaña se basa en cuentas hackeadas de YouTube, cuyos propietarios desconocen que sus perfiles han sido comprometidos. Los atacantes reemplazan el contenido original con vídeos falsos sobre software pirateado o trucos para videojuegos en especial Roblox, que terminan infectando los equipos de los usuarios con malware del tipo “ladrón de información”.

Algunos de estos vídeos llegaron a acumular entre 147.000 y 293.000 visualizaciones, un número suficiente para alcanzar a miles de víctimas potenciales.

“Esta operación aprovechó señales de confianza como visualizaciones, ‘me gusta’ y comentarios para que el contenido malicioso pareciera seguro”, explicó Eli Smadja, gerente del grupo de investigación de seguridad de Check Point. “Lo que aparenta ser un tutorial inofensivo puede convertirse en una trampa cuidadosamente diseñada. La escala y sofisticación de esta red la convierten en un ejemplo de cómo los ciberdelincuentes usan las plataformas sociales para propagar malware”.

Plataformas legítimas convertidas en armas

El uso de YouTube para distribuir malware no es un fenómeno nuevo. Desde hace años, los actores de amenazas han secuestrado canales legítimos o creado nuevos perfiles para publicar vídeos tipo tutorial con enlaces engañosos.
Esta práctica forma parte de una tendencia más amplia: el uso de plataformas populares con fines maliciosos, aprovechando su legitimidad para ganar la confianza de los usuarios.

En este caso, la Red Fantasma de YouTube destaca por su estructura basada en roles, lo que le permite continuar operativa incluso cuando se eliminan algunas de sus cuentas. Esta organización interna hace posible reemplazar perfiles bloqueados sin afectar al funcionamiento general de la red.

Según el investigador Antonis Terefos, las cuentas comprometidas explotan diversas funciones de YouTube videos, descripciones, publicaciones y comentarios para difundir enlaces maliciosos y reforzar la apariencia de legitimidad del contenido.

Tres tipos de cuentas dentro de la red

Los expertos identificaron tres categorías principales de cuentas que conforman la operación:

  • Cuentas de video: suben los videos de phishing y añaden enlaces de descarga en las descripciones o comentarios fijados.
  • Cuentas de publicación: utilizan la pestaña de comunidad de YouTube para publicar mensajes con enlaces externos.
  • Cuentas de interacción: se encargan de dar “me gusta” y dejar comentarios positivos para simular actividad real y aumentar la credibilidad.

Los enlaces dirigen a los usuarios hacia servicios populares como MediaFire, Dropbox o Google Drive, o a páginas de phishing alojadas en Google Sites, Blogger o Telegraph. En muchos casos, los ciberdelincuentes usan acortadores de URL para ocultar el destino real del enlace.

Entre las familias de malware detectadas se encuentran Lumma Stealer, Rhadamanthys Stealer, StealC, RedLine Stealer, Phemedrone Stealer y varios loaders y downloaders desarrollados en Node.js.

Dos ejemplos destacados incluyen el canal @Sound_Writer, con cerca de 10.000 suscriptores, que ha sido utilizado durante más de un año para propagar Rhadamanthys, y el canal @Afonesio1, con 129.000 seguidores, comprometido a finales de 2024 para distribuir una versión falsa de Adobe Photoshop que instala Hijack Loader y posteriormente Rhadamanthys.

Adaptabilidad y persistencia del cibercrimen

“La continua evolución de los métodos de distribución de malware demuestra la creatividad y adaptabilidad de los atacantes para evadir las defensas tradicionales”, advirtió Check Point.
“Estas redes aprovechan la confianza de las cuentas legítimas y los mecanismos de interacción de las plataformas más populares para llevar a cabo campañas masivas, persistentes y altamente efectivas”.

El caso de la Red Fantasma de YouTube deja en evidencia cómo la ingeniería social y la manipulación de plataformas de confianza siguen siendo armas poderosas para los ciberdelincuentes. En un entorno digital cada vez más conectado, la educación del usuario y la verificación de fuentes siguen siendo las mejores defensas frente a estas amenazas.

fuente: thehackernews[.]com

You May Also Like

Hackers secuestran dispositivos Linux utilizando sistemas de archivos aislados PRoot

wpadmin001

Metodos usados por cibercriminales para robar datos de tu tarjeta de credito

wpadmin001

El grupo Lazarus de Corea del Norte despliega una nueva herramienta de acceso remoto a través de trampas de empleo ficticias.

HKN FEED