Een research report van cybersecuritybedrijf CYFIRMA zegt dat het berichtenplatform Telegram een centrale operationele omgeving is geworden voor een breed scala aan cybercriminele activiteiten. Volgens de analyse gebruiken dreigingsactoren steeds vaker Telegram-kanalen, groepen en geautomatiseerde bots om aanvallen te coördineren, tools te verspreiden en illegale diensten binnen het cybercrime-ecosysteem te promoten.
Onderzoekers beschrijven de verschuiving als een structurele verandering in hoe cybercriminele gemeenschappen zich online organiseren. Historisch gezien vonden veel illegale activiteiten plaats op darknetforums die op Tor-netwerken werden gehost. Deze platforms vereisten technische expertise om toegang te krijgen en vertrouwden op reputatiesystemen en escrowmechanismen voor transacties. Het rapport van CYFIRMA stelt dat Telegram nu vergelijkbare functies biedt, terwijl het toetredingsdrempels verlaagt en snellere coördinatie tussen actoren mogelijk maakt.
De architectuur van Telegram stelt gebruikers in staat om publieke kanalen, privégroepen en geautomatiseerde bots te creëren die bestanden kunnen verspreiden, berichten kunnen publiceren aan grote doelgroepen en transacties kunnen verwerken. Cybercriminele groepen gebruiken deze functies om operaties in realtime te coördineren en de communicatie te behouden, zelfs wanneer individuele kanalen worden verwijderd of verstoord. Omdat nieuwe kanalen snel kunnen worden aangemaakt en gedeeld via uitnodigingslinks, kunnen groepen hun netwerken snel herbouwen na verwijderingen of verstoringen.
Het CYFIRMA-rapport identificeert verschillende categorieën van dreigingsactoren die het platform gebruiken. Ransomware-operators onderhouden kanalen waarin ze slachtoffers vermelden, gestolen datasamples publiceren en betalingstermijnen aankondigen. Deze kanalen tonen vaak bewijs van compromisgedrag om druk te zetten op doelgerichte organisaties tijdens afpersingsonderhandelingen. Sommige groepen gebruiken Telegram ook om affiliates te werven en omzetdelingsmodellen voor ransomwarecampagnes te promoten.
Eerste toegangsmakelaars, een ander belangrijk onderdeel van het cybercriminaliteitsecosysteem, gebruiken ook Telegram-kanalen om gecompromitteerde netwerken en inloggegevens te promoten. Vermeldingen bevatten vaak details over de doelorganisatie, zoals sector, omzetgrootte, geografische locatie en toegangsrechten binnen het netwerk. Kopers kunnen deze aanbiedingen evalueren voordat ze toegang kopen die later mogelijk gebruikt kan worden voor ransomware- of datadiefstaloperaties.
Malwareontwikkelaars en -operators gebruiken het platform ook om tools en diensten te distribueren. Kanalen kunnen informatie-stelende malware, crypters, phishingkits of loader-frameworks promoten via abonnementsgebaseerde modellen. In veel gevallen verzorgen geautomatiseerde bots klantinteractie, betalingsverwerking en levering van de malware-builds. Deze diensten functioneren vergelijkbaar met legitieme softwaredistributiesystemen, maar opereren binnen ondergrondse gemeenschappen.
Telegram wordt ook gebruikt om gestolen gegevens en informatie over lekken te verspreiden. Datalekkanalen publiceren vaak voorbeelden van databases of credential-dumps om authenticiteit aan te tonen voordat de volledige dataset wordt vrijgegeven of verkocht. De doorstuur- en herdeelfuncties van het platform maken het mogelijk deze informatie snel over meerdere kanalen te verspreiden, waardoor de zichtbaarheid van inbreuken toeneemt en de inperkingsinspanningen bemoeilijkt.
Onderzoekers zeggen dat de toegankelijkheid en realtime communicatiefuncties van het platform hebben bijgedragen aan de adoptie ervan door cybercriminele groepen. In tegenstelling tot traditionele darknetforums die gespecialiseerde toegangstools vereisen, is Telegram toegankelijk via standaard mobiele of desktopapplicaties, wat technische drempels verlaagt voor deelnemers die de ondergrondse economie betreden.
Het rapport concludeert dat Telegram nu dient als een centrale operationele laag voor moderne cybercriminaliteit. Door communicatie-, distributie-, wervings- en marketingfuncties in één omgeving te combineren, stelt het platform dreigingsactoren in staat operaties efficiënter te coördineren en hun activiteiten op te schalen over een wereldwijd netwerk.