Telegram

Source : Censys (blog, 15 déc. 2025). Le billet de Silas Cutler enquête sur l’infrastructure derrière les attaques de DDoSia, outil DDoS participatif opéré par le groupe pro-russe NoName057(16), et documente son fonctionnement, son ciblage, ainsi que les effets de la perturbation par les forces de l’ordre en juillet 2025. • Contexte et mode opératoire DDoSia, lancé en mars 2022 sur Telegram, est un outil de déni de service distribué s’appuyant sur des volontaires (ordinateurs personnels, serveurs loués, hôtes compromis). La distribution passe par des binaires Golang multi-plateformes (le nom interne « Go‑Stresser » est mentionné), avec des versions historiques Python. Des liens OSINT suggèrent un prédécesseur possible via le malware Bobik (2020). Les volontaires ne choisissent pas les cibles ; la motivation est entretenue par des récompenses financières et une propagande pro‑Russie sur Telegram. ...

Source: NVISO – Depuis octobre 2025, le SOC de NVISO a observé quatre tentatives d’intrusion exploitant Telegram, et propose une analyse des modes d’abus de la plateforme ainsi que des pistes concrètes de détection et de chasse. • Fonctionnement et abus de Telegram: la messagerie cloud, ses bots (créés via @BotFather) et ses canaux sont détournés pour leurs avantages opérationnels. Des malwares intègrent des bot tokens et chat/channel IDs, et appellent des endpoints clés comme /getMe, /sendMessage, /sendDocument, /getUpdates, /getWebhookInfo et /deleteWebhook (dont /deleteWebhook?drop_pending_updates=true pour purger l’historique des commandes), afin d’assurer fiabilité, anonymat et résilience côté attaquant. ...

Selon un article d’actualité du 13 décembre 2025 publié par The Register, le collectif hacktiviste pro‑russe CyberVolk fait son retour après plusieurs mois de silence avec un nouveau service de ransomware‑as‑a‑service (RaaS). La « mauvaise nouvelle » mise en avant est le lancement, à la fin de l’été, de CyberVolk 2.x (aka VolkLocker), une opération RaaS. Elle est entièrement pilotée via Telegram ✈️, ce qui abaisse fortement la barrière à l’entrée pour les affiliés. ...

Selon Kaspersky Security Services (publication sur le site Kaspersky Digital Footprint Intelligence), des chercheurs ont étudié l’usage de Telegram par les cybercriminels, ses capacités techniques pour des opérations clandestines et le cycle de vie des chaînes illicites, en analysant plus de 800 chaînes bloquées entre 2021 et 2024. L’étude souligne que, vus par des cybercriminels, Telegram présente des limites en matière d’anonymat et d’indépendance: absence de chiffrement de bout en bout par défaut, infrastructure centralisée et code serveur fermé. Malgré ces faiblesses, la plateforme est largement utilisée comme place de marché clandestine grâce à des fonctionnalités qui facilitent l’activité underground. ...

Selon Howler Cell Research Team, une enquête a mis au jour une chaîne multi‑infection liée à un botnet, au centre de laquelle un étudiant bangladais vend l’accès à des sites compromis (surtout WordPress et cPanel) à des acheteurs principalement basés en Asie, via Telegram et paiements en cryptomonnaie. Principaux constats 🔎 Webshell PHP ‘Beima’: totalement indétecté par des outils modernes, y compris VirusTotal (depuis mai 2024). Marché: plus de 5 200 sites compromis listés à la vente sur Telegram; .EDU/.GOV ~200 $ contre 3–4 $ pour d’autres sites; 76% des cibles seraient gouvernement/éducation. Origine/acheteurs: vendeur étudiant au Bangladesh; acheteurs surtout Chine, Indonésie, Malaisie; focus pays: Inde, Indonésie (aussi Brésil, Thaïlande, États‑Unis). Accès initial: mauvaise configuration WordPress et cPanel; diffusion via un panneau de botnet. Détails techniques du webshell 🐚 ...

Selon PolySwarm (blog), ClayRAT est une campagne de spyware Android sophistiquée ciblant des utilisateurs en Russie, identifiée par Zimperium zLabs. En trois mois, plus de 600 échantillons ont été observés. La distribution s’appuie sur des canaux Telegram et des sites de phishing impersonnant des apps populaires comme WhatsApp et YouTube, avec des preuves sociales fabriquées pour crédibiliser les campagnes. Le malware abuse du rôle d’application SMS par défaut pour accéder discrètement aux SMS, journaux d’appels, notifications et effectuer des opérations de messagerie sans sollicitation de l’utilisateur. Il supporte des commandes à distance permettant l’exfiltration de données (SMS, logs d’appels, notifications, infos appareil), la capture caméra et le déclenchement d’appels/SMS. ...

Source: bleepingcomputer.com (Bill Toulas) — La Guardia Civil espagnole a démantelé « GXC Team », une opération de cybercriminalité opérant en Crime-as-a-Service (CaaS), et arrêté son chef présumé, un Brésilien de 25 ans connu sous le nom de « GoogleXcoder ». Le groupe proposait des kits de phishing dopés à l’IA, des malwares Android et des outils de voice-scam, vendus via Telegram et un forum russophone. Selon Group-IB, les cibles incluaient des banques, le transport et l’e-commerce en Espagne, Slovaquie, Royaume-Uni, États-Unis et Brésil. Les kits reproduisaient les sites de dizaines d’institutions et ont alimenté au moins 250 sites de phishing. ...

Selon Elliptic, dans un contexte de coordination transatlantique, le département du Trésor américain et le FCDO britannique ont pris des mesures conjointes contre le TCO Prince Group de Chen Zhi impliqué dans des escroqueries « pig butchering » et un blanchiment massif de cryptomonnaies. Mesures clés: sanctions OFAC contre 146 entités, désignation par la FinCEN de Huione Group comme préoccupation principale de blanchiment d’argent, et plus grande confiscation du DOJ à ce jour d’environ 127 271 bitcoins (~15 Mds $). Le réseau exploitait des composés de travail forcé en Asie du Sud-Est et aurait escroqué des Américains de plus de 16,6 Mds $ via des schémas d’investissement frauduleux. ...

Selon Daily Dark Web, un groupe se faisant appeler « Scattered LAPSUS$ Hunters » a revendiqué une série d’intrusions visant des entreprises majeures des secteurs technologiques, de l’aviation et des télécommunications, en diffusant des échantillons de données sur son canal Telegram comme preuves. Les victimes listées par le groupe incluent : 🇺🇸 Dell 🇦🇺 Telstra 🇰🇼 Kuwait Airways 🇫🇷 Lycamobile (des clients en France seraient concernés) 🇺🇸 Verizon 🇹🇭 True Corporation & dtac Le groupe — dont le nom fait référence aux groupes d’extorsion Lapsus$ et Scattered Spider — affirme avoir exfiltré des données « étendues » variant selon la cible. Les catégories de données prétendument volées comprennent notamment : ...

Source: viuleeenz.github.io — L’auteur détaille une méthodologie de chasse aux menaces à partir d’un unique IOC issu d’un article de Unit42 sur le malware Gremlin Stealer, en s’appuyant sur VirusTotal pour relier des échantillons, extraire des indicateurs et monter en généralité sans recourir lourdement au reversing. L’analyse combine indicateurs statiques et comportementaux pour relier des échantillons: horodatage futur (2041-06-29 19:48:00 UTC), marque/copyright trompeurs (“LLC ‘Windows’ & Copyright © 2024”), et métadonnées .NET comme MVID et TypeLib ID pour le clustering. L’auteur souligne que si les caractéristiques statiques sont faciles à modifier, les contraintes comportementales le sont moins et constituent des pivots plus robustes. ...