This blog was edited in July 7, 2025 for updated information.
Telegram has long been a popular communication tool for cyber criminals. Free, encrypted, and fairly anonymous, Telegram has been home to several criminal forums and marketplaces for years.
Recently, however, that looked like it might change. The 2024 arrest of Telegram CEO Pavel Durov raised concerns among threat actors. This was particularly true after an announcement that Telegram would be cooperating more closely with law enforcement by releasing the phone numbers and IP addresses of users suspected of criminal activity.
However, Telegram hasn’t stopped being a pirates’ cove for cybercriminals. It’s still the most popular messaging app in the criminal underground. Find out why Telegram is still cybercriminals’ favorite forum and why it’s a popular alternative to traditional dark web forums.
Why Do Cybercriminals Use Telegram?
Telegram est une application de messagerie avec des fonctionnalités de confidentialité et de cryptage améliorées. L'application fonctionne sur les plates-formes mobiles et de bureau populaires et synchronise les messages sur tous les appareils enregistrés d'un utilisateur. Outre les conversations privées en tête-à-tête, les utilisateurs de Telegram peuvent s'abonner à des chaînes sur lesquelles les propriétaires publient du contenu ou ils peuvent devenir membres de groupes dans lesquels tous les participants discutent de sujets.
Although cybercriminals mostly use a combination of messaging apps, Flare’s research shows that as of January 2025, Telegram is still the most-used communication tool among threat actors.
Les groupes de télégrammes illicites offrent un meilleur anonymat
Les cybercriminels doutent du degré d'anonymat qu'ils obtiennent lorsqu'ils utilisent des forums Web sombres que les administrateurs peuvent facilement surveiller. Alors que les adresses IP et les géolocalisations sont masquées automatiquement via un type de routage spécial, il y a la crainte d'être surveillé par les administrateurs et de voir les identités révélées. Telegram n'a pas d'administrateurs traditionnels surveillant ses groupes et ses discussions en tête-à-tête, ce qui est attrayant pour l'anonymat. Les pirates peuvent également masquer leurs numéros de téléphone sur le service.
Les groupes de télégrammes illicites offrent des communications cryptées
Le cryptage est un sujet intéressant lorsqu'il s'agit d'activités cybercriminelles illicites. Telegram offre un cryptage de bout en bout pour les messages par défaut, ce qui permet d'éviter les attaques potentielles de l'homme du milieu qui peuvent espionner les messages en transit. Les forums et les marchés du dark web ont également une option de cryptage, mais les pirates doivent utiliser quelque chose comme Pretty Good Privacy (PGP) pour assurer le cryptage, ce qui est moins pratique.
Les groupes de télégrammes illicites proposent des opérations renforcées
Un autre facteur important est la façon dont Telegram offre aux groupes de piratage et aux loups solitaires un moyen de renforcer leurs opérations. L'obligation d'enregistrer un domaine pour proposer des services et des outils à la vente rend les opérations des acteurs de la menace vulnérables aux attaques par déni de service distribué (DDoS) qui peuvent les mettre hors ligne. Les chaînes Telegram contournent cette exigence pour un domaine et garantissent que les cybercriminels peuvent rester en ligne tant que le service Telegram reste en ligne.
Menaces courantes sur Telegram
Nous voyons bon nombre des mêmes menaces sur les canaux de télégrammes illicites que nous voyons sur les marchés et les forums dédiés au dark web. Dans de nombreux cas, les acteurs de la menace sont directement passés des sites Web TOR plus traditionnels à des télégrammes offrant exactement les mêmes biens et services.
Appareils infectés et chaînes de télégrammes illicites
Though threat actors can buy and sell infected devices on established autoshops, they can also be found on Telegram channels.
Les acteurs de la menace distribuent les journaux des voleurs de différentes manières selon le canal. Ils distribuent eux-mêmes gratuitement les journaux de vol, tout en monétisant l'accès à la chaîne via des abonnements. De cette façon, ils peuvent avoir accès à de nouveaux journaux de vols sans attendre les ventes de l'autoshop. Par exemple, nous avons trouvé une chaîne avec un abonnement de 100 $ par mois qui promet un minimum de 1,000 XNUMX nouveaux journaux par jour.
Même s'ils peuvent être vendus pour seulement quelques dollars, les empreintes digitales du navigateur et les journaux de vol peuvent représenter la vie numérique de leurs victimes. Avec des identifiants de connexion enregistrés et plus encore (en particulier combinés avec OSINT), un acteur malveillant pourrait même deviner l'emplacement géographique général de la victime.
Avec les appareils d'entreprise, les acteurs malveillants peuvent accéder aux environnements des entreprises.
Vous voulez en savoir plus sur les malwares voleurs ? Lisez notre rapport : Disséquer le cycle de vie des logiciels malveillants Dark Web Stealer avec le framework MITRE ATT&CK.
Chaînes de télégrammes illicites et identifiants volés
Il y a des milliards d'identifiants volés sur le dark web. Entre les mains d'un acteur malveillant, ces informations d'identification peuvent être utilisées à mauvais escient pour provoquer d'horribles violations de données pour les individus et les organisations. Les canaux de télégrammes illicites sont un nouveau vecteur commun qui facilite la distribution de routine des informations d'identification volées. Dans certains cas, cela peut être gratuit et dans d'autres cas, les informations d'identification peuvent être achetées via des mécanismes automatisés sur des canaux spécifiques.
Êtes-vous curieux de connaître les chaînes Telegram et les informations d'identification volées? Consultez nos Pleins feux sur les menaces sur d'identifiants compromis et sur informations d'identification divulguées et géographie.
Chaînes de télégrammes illicites et robots OTP
Through one-time password bots (OTP bots), threat actors can try to collect 2FA codes from victims at scale. When we conducted a search in 2022 on Telegram for the terms “OTP Bot” and “2FA Bot,” we found 1,700 results. In 2025, this same term provides almost 3,000 times the results.
Il existe une demande active pour les robots OTP, car nombre de ces résultats affichent une activité dans les minutes suivant la requête. Généralement, les acteurs malveillants achètent d'abord l'accès aux identifiants de connexion au compte bancaire, puis recherchent la disponibilité du bot OTP dans les canaux Telegram axés sur la fraude.
Threat actors typically use OTP bots for personal financial fraud rather than corporate. However, this method could be applied to corporate attacks. For example, if a data breach exposes corporate logins, a malicious actor could find those victims’ phone numbers through OSINT, then leverage that to solicit one-time passwords to bypass 2FA controls.
Vous voulez en savoir plus sur les bots OTP ? Jetez un œil à notre Pleins feux sur les menaces : marchés de télégrammes illicites et robots OTP.
Telegram rendra-t-il le Dark Web redondant ?
Malgré l'émergence de Telegram en tant que nouvelle frontière du dark web, les cybercriminels continueront probablement à utiliser les forums souterrains du dark web. Ces forums offrent une gamme de fonctionnalités que Telegram n'offre pas, telles que des systèmes de notation intégrés, qui permettent aux acteurs d'établir des réputations. L'approche précédemment non interventionniste de Telegram et son refus de coopérer avec les forces de l'ordre ont également changé avec la suppression de plusieurs chaînes et groupes illicites qui rassemblaient de nombreux abonnés.
Il est peu probable que le dark web soit abandonné de sitôt en tant que plaque tournante de la cybercriminalité. Attendez-vous à ce que les cybercriminels répartissent leurs opérations entre les applications de messagerie et les forums et marchés souterrains traditionnels. Une surveillance complète nécessite une couverture à la fois du dark web et des applications de messagerie.
Will Threat Actors Leave Telegram for Other Messaging Platforms?
While cybercriminals are using other platforms, they’re unlikely to abandon the communities they’ve built on Telegram. There has been some migration, but so far only Signal seems to have benefited from the crackdown on Telegram. It is important to note, however, that criminals don’t stick to just one platform. Most criminals appear to be using Telegram as well as other messaging apps, and in fact they may change their messaging app depending on the data they are sharing.
All this is to say: old habits die hard. Just as Telegram hasn’t eliminated the dark web, other messaging services aren’t likely to eliminate Telegram.
Surveillance de l'activité de télégramme illicite avec Flare
La fusée Gestion de l'exposition aux menaces (TEM) La solution permet aux organisations de détecter, hiérarchiser et atténuer de manière proactive les types d’expositions couramment exploitées par les acteurs de la menace. Notre plateforme analyse automatiquement le Clear & Dark Web et les canaux Telegram illicites 24h/7 et XNUMXj/XNUMX pour découvrir des événements inconnus, hiérarchiser les risques et fournir des informations exploitables que vous pouvez utiliser instantanément pour améliorer la sécurité.
Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Apprenez-en davantage en vous inscrivant à notre essai gratuit.
