文章总结： 文章基于CYFIRMA研究揭示Telegram已从即时通讯工具演变为网络犯罪核心平台，替代暗网成为黑客交易访问权限、恶意软件和窃取日志的高速集市。平台凭借频道快速迁移机制对抗执法封禁，实现犯罪服务自动化运营。尽管Telegram配合执法提供用户数据，但未能遏制犯罪扩张，网络犯罪正走向专业化与平民化。 综合评分： 70 文章分类： 威胁情报,恶意软件,数据泄露,安全大事件

【安全圈】Telegram日益成为访问权限、恶意软件和窃取日志的交易平台

安全圈

2026年3月5日 19:02 江苏

关键词

服务中断

对大多数人而言，Telegram只是个人与群组聊天的便捷工具。但在网络安全领域，这款应用已演变成更令人担忧的存在。研究机构CYFIRMA的详细分析显示，该平台已成为黑客的主要”办公场所”，成功将暗网的灰色交易转移至更快捷、更易触及的空间。

平台迁移的动因

以往购买被盗数据需通过Tor网络，而该网络长期是执法部门的重点打击目标。传统论坛一旦被封，犯罪分子就会血本无归。但CYFIRMA最新研究表明，Telegram为黑客群体解决了这一痛点。

据其博客披露，IndoHaxSec等组织已将其用作备份系统——主频道遭封禁时，仅需几分钟即可引导关注者转移至新频道，犯罪活动永不间断。这种韧性使得当局难以彻底斩断黑产链条。

Telegram被用于实施多种网络犯罪（来源：CYFIRMA）

数据交易的高速集市

如今的Telegram不仅是聊天工具，更成为全自动化的犯罪商城。黑客利用预设脚本的bot实现自动化运营：这些程序可在数秒内检索数百万条被盗密码或完成支付交易。当前平台主要流通以下黑产商品：

• 初始访问权限

  （企业大门的钥匙）：中间商兜售直接入侵大型企业的通道，不仅提供口头承诺，还会展示企业VPN门户或私有Azure/AWS云控制台的实时截图作为凭证。

• 恶意软件即服务

  （MaaS）：网络罪犯可订阅病毒工具包，窃密程序、加载器等恶意工具会像正规软件般定期更新。

• 日志云库

  ：这是全球受感染计算机窃取的账号密码合集，构成可海量检索的数据库。

• 羞辱营销

  ：勒索软件组织通过公开频道胁迫企业，发布文件泄露倒计时和隐私文件样本以逼迫支付赎金。

研究人员指出：”对逐利者而言，Telegram是可扩展的网店与客服中心；对黑客活动分子，它是动员宣传的扩音器；对国家背景的行动者，则成为信息与泄密数据的快速分发渠道。该平台通过降低技术门槛同时保持操作灵活性，正逐步替代传统的Tor生态系统。”

犯罪活动与执法协作的悖论

尽管Telegram向全球执法机构提供的用户数据量显著增长，但平台上的网络犯罪活动仍在持续扩张。透明度报告显示，2024年该平台向当局提供了数百次电话号码、IP地址等识别信息：仅美国就处理了近900项执法请求，涉及2200余名用户；英国当局获取了142起案件涉及293名用户的数据，较此前个位数的请求量激增。

这种矛盾现象表明：数据共享虽有助于事后追踪嫌疑人，却未能有效遏制平台上网络犯罪社群的发展。更令人担忧的是，Telegram使网络犯罪走向专业化与平民化，将原本隐秘的地下世界改造成高效运转的自动化产业。

END

阅读推荐

【安全圈】伊朗无人机袭击亚马逊海湾数据中心，云服务中断

【安全圈】暗网泄露：atlasair最大航空 1.2 TB DataBase

【安全圈】伊朗加密货币交易所 Ariomex 遭数据泄露

【安全圈】Chrome 安全漏洞致 Gemini Live 助手遭劫持，可被用于间谍活动

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】Telegram日益成为访问权限、恶意软件和窃取日志的交易平台》