Secondo research report la società di cybersecurity CYFIRMA, la piattaforma di messaggistica Telegram è diventata un ambiente operativo centrale per una vasta gamma di attività criminali informatiche. Secondo l’analisi, gli attori minacciosi utilizzano sempre più canali Telegram, gruppi e bot automatizzati per coordinare attacchi, distribuire strumenti e promuovere servizi illegali all’interno dell’ecosistema del cybercrimine.
I ricercatori descrivono questo cambiamento come un cambiamento strutturale nel modo in cui le comunità di cybercriminali si organizzano online. Storicamente, molte attività illecite avvenivano su forum darknet ospitati sulle reti Tor. Queste piattaforme richiedevano competenze tecniche per accedere e si affidavano a sistemi di reputazione e meccanismi di escrow per le transazioni. Il rapporto di CYFIRMA afferma che Telegram ora offre funzioni simili riducendo le barriere all’ingresso e consentendo un coordinamento più rapido tra gli attori.
L’architettura di Telegram consente agli utenti di creare canali pubblici, gruppi privati e bot automatizzati in grado di distribuire file, pubblicare messaggi a grandi pubblici ed elaborare transazioni. I gruppi di cybercriminali utilizzano queste funzionalità per coordinare le operazioni in tempo reale e mantenere la comunicazione anche quando i singoli canali vengono rimossi o interrotti. Poiché nuovi canali possono essere creati rapidamente e condivisi tramite link di invito, i gruppi possono ricostruire rapidamente le loro reti dopo rimozioni o interruzioni.
Il rapporto CYFIRMA identifica diverse categorie di attori minacciosi che utilizzano la piattaforma. Gli operatori di ransomware mantengono canali in cui elencano le vittime, pubblicano campioni di dati rubati e annunciano scadenze per il pagamento. Questi canali spesso mostrano prove di compromesso per fare pressione sulle organizzazioni prese di mira durante le trattative di estorsione. Alcuni gruppi utilizzano anche Telegram per reclutare affiliati e pubblicizzare modelli di condivisione dei ricavi per campagne ransomware.
I broker di accesso iniziale, un altro componente chiave dell’ecosistema del cybercrimine, utilizzano anch’essi i canali Telegram per pubblicizzare reti e credenziali compromesse. Le inserzioni spesso includono dettagli sull’organizzazione target, come settore industriale, dimensione dei ricavi, posizione geografica e privilegi di accesso all’interno della rete. Gli acquirenti possono valutare queste offerte prima di acquistare accessi che potrebbero essere utilizzati successivamente per operazioni di ransomware o furto di dati.
Gli sviluppatori e operatori di malware utilizzano anche la piattaforma per distribuire strumenti e servizi. I canali possono promuovere malware, crittografiatori, kit di phishing o framework di caricatore che rubano informazioni, tramite modelli basati su abbonamento. In molti casi, i bot automatizzati gestiscono l’interazione con i clienti, l’elaborazione dei pagamenti e la consegna delle build malware. Questi servizi funzionano in modo simile ai sistemi legittimi di distribuzione software ma operano all’interno di comunità clandestine.
Telegram viene anche utilizzato per diffondere dati rubati e informazioni sulle violazioni. I canali di fuga di dati spesso pubblicano campioni di database o dump di credenziali per dimostrare l’autenticità prima di rilasciare o vendere l’intero dataset. Le funzionalità di inoltro e ricondivisione della piattaforma permettono a queste informazioni di diffondersi rapidamente su più canali, aumentando la visibilità delle violazioni e complicando gli sforzi di contenimento.
I ricercatori affermano che l’accessibilità della piattaforma e le funzionalità di comunicazione in tempo reale hanno contribuito alla sua adozione da parte dei gruppi di criminali informatici. A differenza dei forum tradizionali del darknet che richiedono strumenti di accesso specializzati, Telegram può essere accessibile tramite applicazioni standard mobili o desktop, riducendo così le barriere tecniche per i partecipanti all’ingresso nell’economia sottoterranea.
Il rapporto conclude che Telegram ora funge da livello operativo centrale per l’attività moderna di cybercriminalità. Combinando funzioni di comunicazione, distribuzione, reclutamento e marketing in un unico ambiente, la piattaforma consente agli attori della minaccia di coordinare le operazioni in modo più efficiente e di scalare le loro attività su una rete globale.