O Federal Bureau of Investigation has warned afirma que atores ameaçadores ligados ao Irã estão usando a plataforma de mensagens Telegram como parte de campanhas de malware direcionadas a indivíduos e organizações. O alerta identifica atividades associadas a grupos, incluindo Handala, um grupo hacktivista pró-Palestina, e o Homeland Justice, que as autoridades americanas já haviam ligado ao Corpo da Guarda Revolucionária Islâmica do Irã.
Segundo o FBI, os atacantes estão usando o Telegram como parte de sua infraestrutura de comando e controle. Isso permite que eles se comuniquem com sistemas comprometidos, emitam instruções e recuperem dados roubados sem depender de servidores tradicionais. Investigadores disseram que essa abordagem pode dificultar a detecção porque utiliza um serviço de mensagens amplamente disponível, em vez de uma infraestrutura maliciosa dedicada.
As campanhas dependem de técnicas de engenharia social para entregar malware. Os alvos recebem arquivos ou links que parecem ser softwares ou documentos legítimos. Uma vez abertos, esses arquivos instalam programas maliciosos em dispositivos Windows. O malware foi projetado para coletar informações de sistemas infectados, incluindo arquivos, capturas de tela e dados do sistema, que podem ser transmitidos de volta aos atacantes.
O FBI afirmou que o malware opera em múltiplos estágios. Cargas úteis iniciais estabelecem acesso ao sistema, enquanto componentes subsequentes se conectam a canais baseados no Telegram ou bots para permitir comunicação contínua. Essa configuração permite que os atacantes mantenham a persistência e continuem interagindo com o dispositivo comprometido ao longo do tempo.
As autoridades disseram que a atividade tem como alvo diversos indivíduos, incluindo jornalistas, autoridades governamentais, figuras políticas e outros. Em alguns casos, as campanhas foram ligadas a esforços para coletar informações ou obter informações que podem ser divulgadas publicamente posteriormente.
O alerta segue ações recentes das autoridades contra infraestruturas ligadas aos mesmos grupos, incluindo a apreensão de sites usados para distribuir dados roubados. O FBI afirmou que o aviso tem como objetivo fornecer detalhes técnicos que as organizações podem usar para identificar e mitigar ameaças semelhantes.
Autoridades recomendaram que as organizações monitorem o tráfego de rede para conexões incomuns com plataformas de mensagens e garantam que os sistemas sejam atualizados e protegidos contra vulnerabilidades conhecidas. A investigação sobre a atividade está em andamento.