I moderni servizi di messaggistica istantanea, come WhatsApp, Telegram, Signal e altri, vengono spesso utilizzati per scopi illeciti. Kaspersky ha condotto un monitoraggio approfondito di oltre 800 canali Telegram bloccati tra il 2021 e il 2024. Sebbene sulla piattaforma continui a essere presente una serie di attività illegali, il suo ambiente è diventato notevolmente più ostico per portare avanti operazioni illecite in modo continuativo.
Il framework dei bot di Telegram e le altre funzionalità integrate creano un ecosistema poco impegnativo per il mondo criminale. Un singolo bot può gestire contemporaneamente le query, elaborare pagamenti in criptovaluta e fornire istantaneamente carte bancarie rubate, log di info-stealer, kit di phishing o attacchi DDoS a centinaia di acquirenti al giorno, spesso senza alcun coinvolgimento umano. L’archiviazione illimitata e senza scadenza dei file elimina la necessità di un hosting esterno quando si distribuiscono dump di database multi-gigabyte o documenti aziendali rubati. Questa automazione favorisce naturalmente offerte ad alto volume, a basso prezzo e che richiedono poche competenze, come carte di credito o altri dati trapelati, hosting di malware e altro. Le transazioni di alto valore che dipendono dalla fiducia (ad esempio le informazioni sulle vulnerabilità zero-day) restano ancora sui forum del dark web basati sulla reputazione.
I ricercatori di Kaspersky hanno individuato due tendenze evidenti legate alle attività illegali su Telegram. La durata media dei canali “ombra” è aumentata, con una percentuale che sopravvive oltre i nove mesi più che triplicata nel 2023-2024 rispetto al 2021-2022. Allo stesso tempo, l’attività di blocco da parte di Telegram è cresciuta in modo significativo. I dati mensili relativi alla rimozione dei contenuti registrati a partire da ottobre 2024, anche nei loro livelli più bassi, sono paragonabili ai picchi osservati nel 2023, e il ritmo complessivo ha continuato ad accelerare nel 2025. Questo rallenta e ostacola le attività dannose.
Altri svantaggi di Telegram per i criminali informatici includono la mancanza di crittografia end-to-end (E2E) predefinita nelle chat, l’impossibilità di utilizzare server propri per la comunicazione, a causa dell’infrastruttura centralizzata del messenger, e il codice lato server chiuso, che rende impossibile verificarne il funzionamento.
Di conseguenza, diverse community illegali consolidate, tra cui il gruppo BFRepo con quasi 9.000 iscritti e l’operazione malware-as-a-service Angel Drainer, hanno già iniziato a spostare la loro attività principale su altre piattaforme o su messenger proprietari, citando le ripetute interruzioni subite su Telegram.
“I truffatori trovano Telegram uno strumento comodo per molte attività dannose, ma l’equilibrio tra rischio e ricompensa sta chiaramente cambiando. I canali riescono a rimanere online più a lungo rispetto a un paio di anni fa, ma il volume notevolmente più elevato di blocchi significa che gli operatori non possono più contare su una stabilità a lungo termine. Quando un negozio o un servizio scompare dall’oggi al domani, e a volte riappare solo per essere rimosso di nuovo poche settimane dopo, diventa molto più difficile costruire un’attività affidabile. Stiamo iniziando a vedere le prime fasi della migrazione come conseguenza diretta”, ha commentato Vladislav Belousov, Digital Footprint Analyst di Kaspersky.
