Source: NVISO – Depuis octobre 2025, le SOC de NVISO a observé quatre tentatives d’intrusion exploitant Telegram, et propose une analyse des modes d’abus de la plateforme ainsi que des pistes concrètes de détection et de chasse.

• Fonctionnement et abus de Telegram: la messagerie cloud, ses bots (créés via @BotFather) et ses canaux sont détournés pour leurs avantages opérationnels. Des malwares intègrent des bot tokens et chat/channel IDs, et appellent des endpoints clés comme /getMe, /sendMessage, /sendDocument, /getUpdates, /getWebhookInfo et /deleteWebhook (dont /deleteWebhook?drop_pending_updates=true pour purger l’historique des commandes), afin d’assurer fiabilité, anonymat et résilience côté attaquant.

• Cas d’usage observés (campagnes récentes):

  • Client-side monitoring: le groupe Lunar Spider (FakeCaptcha → Latrodectus) utilise du JavaScript côté navigateur pour fingerprinting des visiteurs et envoie les infos via /sendMessage.
  • Host-side monitoring: campagne DeerStealer diffusée via de fausses mises à jour Chrome, appuyée par un plugin WordPress trojanisé (header-fix-tester) injectant des iframes (statswpmy[.]com, trackingmyadsas[.]com). Le binaire signale son exécution à un bot Telegram via curl et /sendMessage (messages en russe, e.g. « старт », « executable запущен »). Chaîne d’exécution: dropper → HijackLoaderDeerStealer (multistage infostealer avec évasion/persistance).
  • Récupération de C2: Lumma Stealer tire son C2 depuis des canaux Telegram, dont les noms sont ROT13/ROT15 avant usage, permettant changement fréquent et évasion des parseurs automatiques.
  • Exfiltration: Raven Stealer archive via PowerShell, puis envoie le ZIP avec curl.exe et /sendDocument (nom incluant l’utilisateur + suffixe RavenStealer.zip).
  • Exfiltration + C2: un builder XWorm trojanisé (analyse CloudSEK) utilise /sendDocument et /sendMessage pour exfiltration, puis attend les commandes via /getUpdates (format « /machine_id*command »).

• Détection & hunting (Microsoft Defender for Endpoint / Sentinel): NVISO publie des requêtes KQL pour détecter l’usage de api.telegram.org dans les lignes de commande (DeviceProcessEvents) en excluant les navigateurs, pour repérer les flux réseau non-navigateurs vers Telegram (DeviceNetworkEvents), et pour lier processus et réseau lorsqu’ils proviennent d’outils fréquemment abusés (cmd.exe, curl.exe, powershell.exe, pwsh.exe, wscript.exe, cscript.exe).

• IOCs (extraits) et TTPs:

  • Domaines: trackingmyadsas[.]com, statswpmy[.]com
  • SHA-256 (exemples parmi de nombreux échantillons):
    • c50d152c029e9dad1d766dc4810731908d27f7bbec57398d54b1e054db0ed1c2
    • b9a6b0e59c852c93f4c2c21977014cb8829bc6957237fdecd19a5f02f05dd30c
    • 54d7b90ffd220ebe13f4c442a5651c4f210dc33a7fff15bc61ab3c0725567011
    • 64608d79c28b0e04c311e833cc45f732f9d2c8be332341fb255ff282485b0df8
    • 27a088b8423e1856f1c175562cd8aa407f7ad105d9cd30cb53cd0d8b9610496b
    • a98e7877308abed073634decfd323859151851828a1ceae5ee174e978c3df179
    • 63153f4ab529e0c70a8489e1a5c41d0acdaa397eb21874b70870f767daa41c2e
    • 5aa69a1de7bfd0f030ad7100f183631b47f5653cd91c71577f5f32656784ce14
    • 862f99df04b04edc83f38586d27325c7db63c49f0f0abf89c514df5671eb6800
    • e5f159ab792d8bce906a174e8d57a80cbc7811bfb60e99e4ceb70a9da3b85c1d
  • TTPs: abus de services légitimes (Telegram Bot API) pour C2 et exfiltration; exfiltration via /sendDocument; C2 via /getUpdates (+ /getMe, /getWebhookInfo, /deleteWebhook?drop_pending_updates=true); JS côté client vers Telegram; faux updates Chrome et plugin WordPress trojanisé; usage de LOLBins (curl.exe, PowerShell, wscript/cscript, cmd.exe); récupération de C2 via canaux Telegram et ROT13/ROT15.

Conclusion: il s’agit d’une analyse de menace visant à documenter des modes opératoires d’abus de Telegram et à fournir des pistes de détection/hunting assorties d’IOCs.

🧠 TTPs et IOCs détectés

TTP

abus de services légitimes (Telegram Bot API) pour C2 et exfiltration; exfiltration via /sendDocument; C2 via /getUpdates (+ /getMe, /getWebhookInfo, /deleteWebhook?drop_pending_updates=true); JS côté client vers Telegram; faux updates Chrome et plugin WordPress trojanisé; usage de LOLBins (curl.exe, PowerShell, wscript/cscript, cmd.exe); récupération de C2 via canaux Telegram et ROT13/ROT15.

IOC

{‘domain’: [’trackingmyadsas[.]com’, ‘statswpmy[.]com’], ‘sha-256’: [‘c50d152c029e9dad1d766dc4810731908d27f7bbec57398d54b1e054db0ed1c2’, ‘b9a6b0e59c852c93f4c2c21977014cb8829bc6957237fdecd19a5f02f05dd30c’, ‘54d7b90ffd220ebe13f4c442a5651c4f210dc33a7fff15bc61ab3c0725567011’, ‘64608d79c28b0e04c311e833cc45f732f9d2c8be332341fb255ff282485b0df8’, ‘27a088b8423e1856f1c175562cd8aa407f7ad105d9cd30cb53cd0d8b9610496b’, ‘a98e7877308abed073634decfd323859151851828a1ceae5ee174e978c3df179’, ‘63153f4ab529e0c70a8489e1a5c41d0acdaa397eb21874b70870f767daa41c2e’, ‘5aa69a1de7bfd0f030ad7100f183631b47f5653cd91c71577f5f32656784ce14’, ‘862f99df04b04edc83f38586d27325c7db63c49f0f0abf89c514df5671eb6800’, ’e5f159ab792d8bce906a174e8d57a80cbc7811bfb60e99e4ceb70a9da3b85c1d’]}

🔗 Source originale : https://blog.nviso.eu/2025/12/16/the-detection-response-chronicles-exploring-telegram-abuse/