Netcrook Logo
👤 SECPULSE
🗓️ 03 Mar 2026  

La rivoluzione del cybercrimine su Telegram: come la messaggistica istantanea è diventata la corsia di sorpasso del dark web

Gli hacker stanno trasformando Telegram in un punto unico per le violazioni aziendali, riducendo drasticamente il tempo che passa dalle credenziali rubate alla compromissione completa della rete.

Un tempo servivano giorni o addirittura settimane perché credenziali aziendali rubate passassero da un laptop infetto a un hacker determinato. Ora non più. In un cambiamento drastico, i criminali informatici stanno usando Telegram - nota soprattutto come app di messaggistica orientata alla privacy - come un marketplace ad alta velocità per accessi compromessi, con conseguenze devastanti per le aziende di tutto il mondo.

Sono finiti i tempi in cui i forum del dark web erano i bazar esclusivi in cui gli hacker smerciavano accesso alle reti. Oggi i canali Telegram - alcuni pubblici, molti privati - sono diventati hub fiorenti in cui gli “stealer log” (raccolte di nomi utente e password sottratte da malware) vengono aggregati, cercati e rivenduti su larga scala. Per i criminali informatici, Telegram è più di una semplice app di chat; è un intero ecosistema in cui tutto, dal furto di credenziali allo shaming delle vittime di ransomware, si svolge in tempo reale.

Gli Initial Access Broker (IAB), specializzati nel vendere punti d’ingresso negli ambienti aziendali, oggi reperiscono regolarmente credenziali VPN e RDP fresche direttamente dai canali Telegram alimentati dagli info-stealer. Pubblicizzano l’accesso con dettagli specifici: dimensioni dell’azienda, area geografica, livello di privilegi amministrativi e servizi disponibili. Quando un acquirente abbocca, le trattative passano rapidamente alle chat private, dove i venditori forniscono dimostrazioni dal vivo - come l’accesso in tempo reale alla dashboard cloud della vittima o al desktop remoto - per provarne l’autenticità.

Questa evoluzione ha sconvolto il vecchio modello dei negozi di accesso. I forum tradizionali del dark web sono lenti, basati sulla reputazione e costantemente sotto la minaccia di azioni delle forze dell’ordine. L’architettura a canali di Telegram, al contrario, consente agli attori della minaccia di riprendersi dai takedown quasi all’istante: se un canale viene bloccato, ne spunta uno nuovo e gli iscritti vengono migrati senza attriti. I bot gestiscono le iscrizioni, automatizzano i pagamenti e persino distribuiscono aggiornamenti del malware, trasformando Telegram in un centro operativo criminale efficiente quanto qualsiasi piattaforma SaaS legittima.

I gruppi ransomware e hacktivisti non usano Telegram solo per la logistica. Lo sfruttano anche per la guerra psicologica - diffondendo pubblicamente i dati delle vittime e orchestrando countdown per aumentare la pressione sulle organizzazioni. Gruppi come Cyber Fattah e NoName057 hanno dimostrato come Telegram possa servire sia a scopi operativi sia di propaganda, amplificando sia la portata sia l’impatto dei loro attacchi.

Per chi difende, questa “piattaformizzazione” del cybercrimine è uno scenario da incubo. La barriera d’ingresso per aspiranti attaccanti non è mai stata così bassa e il tempo che passa dal furto di credenziali alla violazione aziendale si misura ormai in ore, non in giorni. Mentre Telegram consolida il suo ruolo sia di vetrina sia di help desk per il sottobosco cybercriminale, le aziende devono ripensare il proprio approccio alla sicurezza delle credenziali e alla risposta agli incidenti - prima che la loro chat interna diventi il prossimo trofeo su un canale Telegram.

WIKICROOK

  • Initial Access Broker (IAB): Un Initial Access Broker è un criminale informatico che si introduce nei sistemi e vende quell’accesso ad altri, abilitando ulteriori attacchi informatici.
  • Stealer Log: Uno stealer log è un file contenente dati rubati da malware infostealer, spesso venduto o scambiato nei mercati del cybercrimine per usi malevoli.
  • RDP (Remote Desktop Protocol): RDP è un protocollo che consente agli utenti di accedere e controllare da remoto un altro computer via internet, spesso usato per supporto remoto e gestione dei server.
  • Bot: Un bot è un programma automatizzato che esegue attività online su larga scala e ad alta velocità, usato sia per scopi utili sia malevoli.
  • Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai loro file o sistemi.

Mentre il confine tra piattaforme social e mercati criminali si fa sempre più sfumato, la trasformazione di Telegram è un monito netto: nell’era digitale, ogni strumento può diventare un’arma. L’ecosistema del cybercrimine evolve a velocità vertiginosa - e chi difende deve tenere il passo, o rischia di restare indietro.

Telegram Cybercrime Ransomware
SECPULSE SECPULSE
SOC Detection Lead
← Back to news