Uma research report empresa de cibersegurança CYFIRMA afirma que a plataforma de mensagens Telegram se tornou um ambiente operacional central para uma ampla gama de atividades cibercriminosas. De acordo com a análise, os agentes ameaçadores estão usando cada vez mais canais do Telegram, grupos e bots automatizados para coordenar ataques, distribuir ferramentas e promover serviços ilegais dentro do ecossistema do cibercrime.
Pesquisadores descrevem essa mudança como uma mudança estrutural na forma como as comunidades cibercriminosas se organizam online. Historicamente, muitas atividades ilícitas aconteciam em fóruns da darknet hospedados nas redes Tor. Essas plataformas exigiam expertise técnica para acessar e dependiam de sistemas de reputação e mecanismos de escrow para transações. O relatório da CYFIRMA afirma que o Telegram agora oferece funções semelhantes enquanto reduz barreiras de entrada e permite uma coordenação mais rápida entre os atores.
A arquitetura do Telegram permite que os usuários criem canais públicos, grupos privados e bots automatizados que podem distribuir arquivos, publicar mensagens para grandes audiências e processar transações. Grupos cibercriminosos utilizam esses recursos para coordenar operações em tempo real e manter a comunicação mesmo quando canais individuais são removidos ou interrompidos. Como novos canais podem ser criados rapidamente e compartilhados por meio de links de convite, os grupos podem reconstruir suas redes rapidamente após remoções ou interrupções.
O relatório da CYFIRMA identifica várias categorias de atores ameaçadores que utilizam a plataforma. Operadores de ransomware mantêm canais onde listam vítimas, publicam amostras de dados roubados e anunciam prazos para pagamento. Esses canais frequentemente exibem provas de compromisso para pressionar organizações-alvo durante negociações de extorsão. Alguns grupos também usam o Telegram para recrutar afiliados e anunciar modelos de divisão de receitas para campanhas de ransomware.
Intermediários de acesso inicial, outro componente chave do ecossistema de crimes cibernéticos, também usam canais do Telegram para divulgar redes e credenciais comprometidas. Os anúncios frequentemente incluem detalhes sobre a organização-alvo, como setor industrial, tamanho de receita, localização geográfica e privilégios de acesso dentro da rede. Os compradores podem avaliar essas ofertas antes de adquirir acessos que podem ser usados posteriormente para operações de ransomware ou roubo de dados.
Desenvolvedores e operadores de malware também utilizam a plataforma para distribuir ferramentas e serviços. Os canais podem promover malwares que roubam informações, criptografadores, kits de phishing ou frameworks de carregadores por meio de modelos baseados em assinatura. Em muitos casos, bots automatizados cuidam da interação com clientes, processamento de pagamentos e entrega das builds de malware. Esses serviços funcionam de forma semelhante a sistemas legítimos de distribuição de software, mas operam dentro de comunidades subterrâneas.
O Telegram também é usado para circular dados roubados e informações sobre violação. Canais de vazamento de dados frequentemente publicam amostras de bancos de dados ou dumps de credenciais para demonstrar autenticidade antes de liberar ou vender o conjunto de dados completo. Os recursos de encaminhamento e recompartilhamento da plataforma permitem que essas informações se espalhem rapidamente por múltiplos canais, aumentando a visibilidade das violações e complicando os esforços de contenção.
Pesquisadores afirmam que os recursos de acessibilidade e comunicação em tempo real da plataforma contribuíram para sua adoção por grupos cibercriminosos. Ao contrário dos fóruns tradicionais da darknet, que exigem ferramentas de acesso especializadas, o Telegram pode ser acessado por meio de aplicativos móveis ou desktop padrão, o que reduz barreiras técnicas para os participantes que ingressam na economia subterrânea.
O relatório conclui que o Telegram agora serve como uma camada operacional central para a atividade moderna de crimes cibernéticos. Ao combinar as funções de comunicação, distribuição, recrutamento e marketing em um único ambiente, a plataforma permite que os agentes ameaçadores coordenem operações de forma mais eficiente e escalem suas atividades em uma rede global.