Telegram come piattaforma di Command & Control per attività criminali e il ruolo della Threat Intelligence

Redazione RHC : 8 Settembre 2025 08:15

Nel panorama odierno della sicurezza informatica, una delle tendenze più preoccupanti è l’abuso di piattaforme di messaggistica legittime per scopi malevoli. In particolare, Telegram è sempre più sfruttata da gruppi criminali come infrastruttura di Command & Control (C2), ovvero un sistema centralizzato per gestire attacchi informatici, ricevere dati rubati e coordinare operazioni illecite. Questo fenomeno rappresenta una sfida significativa per le aziende, poiché l’uso di servizi legittimi rende più difficile rilevare e bloccare tali attività.

Gli attaccanti sfruttano le API pubbliche di Telegram per creare bot automatizzati in grado di ricevere comandi e trasmettere dati rubati. Il processo tipico prevede una prima fase di compromissione, spesso attraverso campagne di phishing o malware, seguita dall’installazione di un agente malevolo sui dispositivi delle vittime. Una volta ottenuto l’accesso, gli hacker utilizzano i bot Telegram per mantenere il controllo a distanza, evitando la necessità di server dedicati e riducendo drasticamente il rischio di essere scoperti.

La facilità con cui è possibile configurare questi bot, unita alla crittografia integrata nella piattaforma, rende Telegram particolarmente attraente per i criminali informatici. In aggiunta, poiché si tratta di un servizio ampiamente utilizzato per scopi legittimi, il traffico generato dai bot malevoli passa inosservato tra le normali comunicazioni, complicando ulteriormente il lavoro dei team di sicurezza.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il gruppo di cybercriminali Lazarus, legato alla Corea del Nord, è noto per la sua capacità di evolversi costantemente, adottando tattiche sempre più evolute per rendere i suoi attacchi il più invisibili possibile ed efficaci. Una delle sue strategie prevede l’utilizzo Telegram, per i motivi detti in precedenza. Nella campagna “Operation Blacksmith”, Lazarus ha sfruttato la vulnerabilità Log4Shell per diffondere il trojan NineRAT. Questo malware consente agli hacker di controllare da remoto i sistemi compromessi appoggiandosi a Telegram come canale di comando e controllo.

Questa tattica dimostra la crescente sofisticatezza dei cybercriminali che non solo sfruttano vulnerabilità note, ma adattano strumenti comuni per scopi criminali. Per le aziende, il rischio è chiaro. Difendersi da gruppi così avanzati richiede non solo aggiornamenti costanti, ma anche specialisti di Threat Intelligence in grado di identificare comportamenti anomali anche all’interno di servizi apparentemente sicuri.

La lezione appresa è evidente: in un panorama cyber sempre più complesso, anche le app che usiamo ogni giorno possono diventare veicoli di intrusione. Sta al responsabile della cybersecurity adottare strategie idonee per cercare di mitigare le minacce sempre più ingegnose. Il flusso di attacco si può riassumere con il seguente schema in cui i cybercriminali applicano (ma non solo) le tecniche descritte nel MITRE T1102.002 (Web Service: Bidirectional Communication) e la T1567 (Exfiltration Over Web Service).

Un’azienda specializzata in Cybersecurity e Threat Intelligence come Olympos Consulting gioca un ruolo fondamentale nell’aiutare le organizzazioni a proteggersi da queste minacce avanzate. Attraverso un approccio proattivo e basato sull’analisi dei dati Olympos è in grado di intercettare le azioni che queste infrastrutture criminali compiono ed intervenire prima che possano causare danni significativi.

La collaborazione con un partner specializzato come Olympos Consulting offre alle organizzazioni diversi vantaggi nella lotta contro queste minacce ibride.

In primo luogo, il team di esperti può implementare sistemi di rilevamento avanzati in grado di identificare comunicazioni sospette verso bot Telegram, anche quando queste sono camuffate all’interno di traffico legittimo. Analizzando il traffico di rete e rilevando le richieste provenienti da un host e dirette all’API api.telegram.org, è un chiaro indizio del fatto che l’host sta utilizzando l’API di Telegram per operazioni di comando e controllo (C2) o per l’esfiltrazione di dati.

In secondo luogo, attraverso assesment opportuni, il team è in grado di valutare la resilienza dell’infrastruttura aziendale e individuare eventuali vulnerabilità che potrebbero essere sfruttate dai Threat Actor.

A completamento, emette bollettini di Threat Intelligence che permettono alle aziende di anticipare minacce avanzate, adottare contromisure mirate e rafforzare la propria postura di sicurezza in linea con gli standard di compliance di settore. Affidarsi alla loro analisi esperta non solo riduce i rischi cyber, ma avvicina le organizzazioni agli obblighi normativi, trasformando la cybersecurity da adempimento a vantaggio competitivo.

Un ulteriore aspetto cruciale è la formazione del personale, poiché molti di questi attacchi iniziano con tecniche di ingegneria sociale. Educare i dipendenti a riconoscere tentativi di phishing e altre minacce può ridurre significativamente il rischio di compromissione. L’uso di piattaforme di messaggistica come infrastrutture C2 da parte dei Threat Actor rappresenta una sfida complessa per la cybersecurity, ma con gli strumenti e le competenze giuste è possibile mitigarne i rischi.

Aziende come Olympos Consulting dimostrano come un approccio basato sulla threat intelligence, possa fare la differenza nella protezione dei dati e dei sistemi aziendali. Mentre gli attaccanti continuano a innovare le loro tecniche, è fondamentale che anche le difese evolvano di conseguenza. Investire in soluzioni proattive e in partnership strategiche con esperti di cybersecurity non è più un’opzione, ma una necessità per qualsiasi organizzazione che voglia garantire la propria sicurezza in un panorama digitale sempre più ostile.

Se vuoi verificare che le tue difese siano davvero efficaci contro queste minacce, scrivi a Olympos Consulting per una consulenza personalizzata qui: [email protected]

Rendi la tua azienda un obiettivo più difficile per i cybercriminali con il supporto di esperti che parlano la lingua del business!

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli