🔍 Contexte

Publié le 16 juin 2026 par Open Measures, cet article présente une analyse de la persistance des activités cybercriminelles sur Telegram malgré les efforts de modération massifs engagés depuis l’arrestation de Pavel Durov en France en août 2024.

📊 Évolution de la modération Telegram

Depuis mai 2024, Telegram a considérablement intensifié sa modération :

  • 43,5 millions de canaux et groupes supprimés en 2025
  • Les suppressions quotidiennes en 2026 sont environ 4 fois supérieures à la moyenne de mai 2024
  • Telegram a mis à jour sa politique de confidentialité pour divulguer numéros de téléphone et adresses IP sur ordonnance judiciaire
  • Déclin notable de la modération après le 20 février 2026

🎭 Tactiques d’évasion par période

2024 — Canaux à thème politique américain : Les canaux les plus actifs portaient des noms imitant des mouvements politiques américains (ThePatriotPartyofOH, FreeWestVirginia, PatriotPartyOregon). Ces canaux diffusaient des publicités pour des services cybercriminels (documents frauduleux, identifiants volés).

2025 — Prolifération des canaux politiques : Le volume de posts correspondant aux requêtes cybercriminelles a augmenté d’environ 30 fois pour certains canaux (FreeWestVirginia : ~16 000 hits). De nouveaux canaux politiques ont émergé (PatriotPartyNewHampshire, FreeSouthDakota, FreeNorthDakota, PatriotPartyRI).

2026 — Canaux à thème financier et crypto : Les canaux dominants adoptent désormais des noms liés à la finance OTC, aux cryptomonnaies et à l’emploi en Ukraine (otc_investorhub, chat_nft, truework_stkyiv, ChekerCCsLive, WTSotc). Le volume de posts en 2026 est 4 fois supérieur à celui de 2025.

🛠️ Services cybercriminels observés

  • Vente de fullz, combolists, logs de stealers, CVV
  • Vente de documents frauduleux (passeports ukrainiens, relevés bancaires)
  • Blanchiment d’argent et transactions crypto peer-to-peer (USDT)
  • Recrutement pour des arnaques pig butchering et romance scams via des bots administrateurs automatisés (FriendlyAdminBot)
  • Publicités pour des services de vérification de cartes de crédit volées

📌 Canaux persistants non supprimés

Plusieurs canaux politiques restaient actifs au moment de la publication : PatriotPartyRI, FreeSouthDakota, PatriotPartyNewHampshire, PatriotPartyOregon, FreeWestVirginia. Seuls ThePatriotPartyofOH et FreeNorthDakota ont été supprimés.

📰 Nature de l’article

Il s’agit d’une publication de recherche produite par Open Measures, visant à documenter l’adaptation des cybercriminels aux politiques de modération de Telegram à travers une analyse quantitative de données archivées sur plusieurs années.

🧠 TTPs et IOCs détectés

TTP

  • T1583.006 — Acquire Infrastructure: Web Services (Resource Development)
  • T1585.001 — Establish Accounts: Social Media Accounts (Resource Development)
  • T1566.003 — Phishing: Spearphishing via Service (Initial Access)
  • T1657 — Financial Theft (Impact)
  • T1534 — Internal Spearphishing (Lateral Movement)
  • T1036 — Masquerading (Defense Evasion)

Malware / Outils

  • LummaC2 (stealer)
  • RedLine Stealer (stealer)
  • Raccoon Stealer (stealer)

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ blog.openmeasures.io — source non référencée (0pts)
  • ✅ 19554 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://blog.openmeasures.io/p/telegram-crackdown-patriot-party