文章总结： Telegram正演变为黑客核心枢纽，替代暗网成为新型犯罪平台。因具备抗封禁优势，黑客利用自动化机器人交易初始访问权限、恶意软件及窃取日志。虽平台配合执法共享数据，犯罪活动仍持续扩张并向平民化、专业化发展，降低犯罪门槛并形成高效自动化黑产链条。 综合评分： 82 文章分类： 威胁情报,恶意软件,数据泄露

Telegram沦为黑客新总部：暗网交易明面化，犯罪活动自动化

FreeBuf

2026年3月5日 18:07 上海

#

对大多数人而言，Telegram只是个人与群组聊天的便捷工具。但在网络安全领域，这款应用已演变成更令人担忧的存在。研究机构CYFIRMA的详细分析显示，该平台已成为黑客的主要”办公场所”，成功将暗网的灰色交易转移至更快捷、更易触及的空间。

#

Part01

平台迁移的动因

以往购买被盗数据需通过Tor网络，而该网络长期是执法部门的重点打击目标。传统论坛一旦被封，犯罪分子就会血本无归。但CYFIRMA最新研究表明，Telegram为黑客群体解决了这一痛点。

据其博客披露，IndoHaxSec等组织已将其用作备份系统——主频道遭封禁时，仅需几分钟即可引导关注者转移至新频道，犯罪活动永不间断。这种韧性使得当局难以彻底斩断黑产链条。

Part02

数据交易的高速集市

如今的Telegram不仅是聊天工具，更成为全自动化的犯罪商城。黑客利用预设脚本的bot实现自动化运营：这些程序可在数秒内检索数百万条被盗密码或完成支付交易。当前平台主要流通以下黑产商品：

• 初始访问权限（企业大门的钥匙）：中间商兜售直接入侵大型企业的通道，不仅提供口头承诺，还会展示企业VPN门户或私有Azure/AWS云控制台的实时截图作为凭证。
• 恶意软件即服务（MaaS）：网络罪犯可订阅病毒工具包，窃密程序、加载器等恶意工具会像正规软件般定期更新。
• 日志云库：这是全球受感染计算机窃取的账号密码合集，构成可海量检索的数据库。
• 羞辱营销：勒索软件组织通过公开频道胁迫企业，发布文件泄露倒计时和隐私文件样本以逼迫支付赎金。

研究人员指出：”对逐利者而言，Telegram是可扩展的网店与客服中心；对黑客活动分子，它是动员宣传的扩音器；对国家背景的行动者，则成为信息与泄密数据的快速分发渠道。该平台通过降低技术门槛同时保持操作灵活性，正逐步替代传统的Tor生态系统。”

Part03

犯罪活动与执法行动的悖论

尽管Telegram向全球执法机构提供的用户数据量显著增长，但平台上的网络犯罪活动仍在持续扩张。透明度报告显示，2024年该平台向当局提供了数百次电话号码、IP地址等识别信息：仅美国就处理了近900项执法请求，涉及2200余名用户；英国当局获取了142起案件涉及293名用户的数据，较此前个位数的请求量激增。

这种矛盾现象表明：数据共享虽有助于事后追踪嫌疑人，却未能有效遏制平台上网络犯罪社群的发展。更令人担忧的是，Telegram使网络犯罪走向专业化与平民化，将原本隐秘的地下世界改造成高效运转的自动化产业。

参考来源：

Telegram Increasingly Used to Sell Access, Malware and Stolen Logs

Telegram Increasingly Used to Sell Access, Malware and Stolen Logs

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《Telegram沦为黑客新总部：暗网交易明面化，犯罪活动自动化》