Un research report cabinet de cybersécurité CYFIRMA affirme que la plateforme de messagerie Telegram est devenue un environnement opérationnel central pour un large éventail d’activités cybercriminelles. Selon l’analyse, les acteurs malveillants utilisent de plus en plus les canaux Telegram, des groupes et des bots automatisés pour coordonner des attaques, distribuer des outils et promouvoir des services illégaux au sein de l’écosystème de la cybercriminalité.
Les chercheurs décrivent ce changement comme une évolution structurelle dans la manière dont les communautés cybercriminelles s’organisent en ligne. Historiquement, de nombreuses activités illicites avaient lieu sur des forums du darknet hébergés sur les réseaux Tor. Ces plateformes nécessitaient une expertise technique pour accéder et s’appuyaient sur des systèmes de réputation et des mécanismes d’entiercement pour les transactions. Le rapport de CYFIRMA indique que Telegram offre désormais des fonctions similaires tout en réduisant les barrières à l’entrée et en permettant une coordination plus rapide entre les acteurs.
L’architecture de Telegram permet aux utilisateurs de créer des canaux publics, des groupes privés et des bots automatisés capables de distribuer des fichiers, de publier des messages à de larges audiences et de traiter des transactions. Les groupes de cybercriminels utilisent ces fonctionnalités pour coordonner les opérations en temps réel et maintenir la communication même lorsque les canaux individuels sont supprimés ou perturbés. Parce que de nouveaux canaux peuvent être créés rapidement et partagés via des liens d’invitation, les groupes peuvent reconstruire rapidement leurs réseaux après des suppressions ou des perturbations.
Le rapport CYFIRMA identifie plusieurs catégories d’acteurs malveillants utilisant la plateforme. Les opérateurs de ransomware maintiennent des canaux où ils listent les victimes, publient des échantillons de données volées et annoncent les échéances de paiement. Ces canaux affichent souvent des preuves de compromis pour faire pression sur les organisations ciblées lors de négociations d’extorsion. Certains groupes utilisent également Telegram pour recruter des affiliés et promouvoir des modèles de partage des revenus pour des campagnes de ransomware.
Les courtiers en accès initial, un autre élément clé de l’écosystème de la cybercriminalité, utilisent également les canaux Telegram pour faire la publicité de réseaux et d’identifiants compromis. Les annonces incluent fréquemment des détails sur l’organisation cible, tels que le secteur industriel, la taille du chiffre d’affaires, la localisation géographique et les privilèges d’accès au sein du réseau. Les acheteurs peuvent évaluer ces offres avant d’acheter des accès qui pourraient ensuite être utilisés pour des opérations de ransomware ou de vol de données.
Les développeurs et opérateurs de logiciels malveillants utilisent également la plateforme pour distribuer des outils et des services. Les canaux peuvent promouvoir des logiciels malveillants volant l’information, des crypteurs, des kits de phishing ou des frameworks de chargement via des modèles basés sur abonnement. Dans de nombreux cas, les bots automatisés gèrent l’interaction avec les clients, le traitement des paiements et la livraison des configurations de malwares. Ces services fonctionnent de manière similaire à des systèmes légitimes de distribution de logiciels mais opèrent au sein de communautés souterraines.
Telegram est également utilisé pour diffuser des données volées et des informations sur les violations de données. Les canaux de fuite de données publient souvent des exemples de bases de données ou de dumps d’identifiants pour démontrer leur authenticité avant de publier ou de vendre l’ensemble de données complet. Les fonctions de transfert et de repartage de la plateforme permettent à ces informations de se diffuser rapidement sur plusieurs canaux, augmentant la visibilité des violations et compliquant les efforts de confinement.
Les chercheurs affirment que l’accessibilité de la plateforme et ses fonctionnalités de communication en temps réel ont contribué à son adoption par les groupes de cybercriminels. Contrairement aux forums traditionnels du darknet qui nécessitent des outils d’accès spécialisés, Telegram est accessible via des applications mobiles ou de bureau standard, ce qui réduit les barrières techniques pour les participants entrant dans l’économie souterraine.
Le rapport conclut que Telegram sert désormais de niveau opérationnel central pour l’activité moderne de cybercriminalité. En combinant les fonctions de communication, de distribution, de recrutement et de marketing dans un seul environnement, la plateforme permet aux acteurs malveillants de coordonner leurs opérations plus efficacement et de faire évoluer leurs activités sur un réseau mondial.