Telegram API misbrugt til stealthy C2-kommunikation
At misbruge kendte platforme til cyberangreb er ikke nyt, men en ny Golang-bagdør viser, hvordan Telegrams API kan udnyttes til stealthy command-and-control (C2) operationer.
Det skriver HackRead og en række andre medier på baggrund af en blogpost fra Netskope.
Som bekendt kan traditionelle C2-servere blokeres eller tages ned, men denne malware bruger ifølge kilden en Telegram-bot til at modtage kommandoer fra angriberne. Det gør det langt vanskeligere for sikkerhedsteams at skelne ondsindet trafik fra legitim brug af beskedtjenesten.
Malwaren er blevet observeret i flere kampagner og viser en voksende tendens blandt cyberkriminelle: Udnyttelse af velkendte kommunikationsplatforme til at etablere en robust og modstandsdygtig infrastruktur.
Efterligner Windows-proces
Når malwaren eksekveres, installerer den sig selv ved at kopiere filen til C:\Windows\Temp\svchost.exe, hvilket efterligner en legitim Windows-proces for at undgå at blive opdaget. Derefter etablerer den en ”modstandsdygtighed” via en registreringsnøgle og initierer forbindelse til en specifik Telegram-bot ved hjælp af en hardcoded API-token.
Malwaren venter herefter på kommandoer fra angriberen som fx:
- Kørsel af PowerShell-kommandoer – Angriberen kan udføre vilkårlige scripts direkte på den kompromitterede maskine.
- Eksfiltration af systemoplysninger – Information om maskinen og netværket kan sendes tilbage via Telegram.
- Selvdestruktion – En særlig kommando kan instruere bagdøren i at slette sig selv og alle spor af infektionen.
Eftersom Telegram er en krypteret tjeneste, gør det angrebene sværere at spore, da al kommunikation mellem malwaren og angriberen forbliver skjult bag Telegrams egen infrastruktur.
Hvorfor Golang?
At malwaren er skrevet i Golang er næppe tilfældigt. Sproget er blevet populært blandt cyberkriminelle på grund af dets evne til at kompilere binærfiler til flere platforme med minimal modifikation. Dette betyder, at truslen ikke kun er begrænset til Windows, men potentielt kan udvides til Linux- og macOS-miljøer.
Golang-malware har også en tendens til at være mere obfuskeret end traditionelle malwaresprog som Python eller C++, hvilket gør reverse engineering mere tidskrævende for sikkerhedsanalytikere.
Afhængig af Telegram
Malwarens afhængighed af Telegram betyder, at organisationer kan implementere flere forsvarsmekanismer for at minimere risikoen:
- Netværksfiltrering – Blokering af uautoriseret Telegram-trafik på virksomhedens netværk kan forhindre bagdøren i at etablere kommunikation.
- Endpoint Detection & Response (EDR) – Moderne EDR-løsninger kan overvåge for mistænkelige processer som ukendte svchost.exe-instanser i usædvanlige kataloger.
- PowerShell-restriktioner – Begrænsning af script-execution kan forhindre angriberen i at udnytte en kompromitteret maskine yderligere.
- Anomali-baseret overvågning – Da Telegram misbruges som C2-kanal, kan virksomheder implementere systemer, der analyserer usædvanlige mønstre i applikationstrafik.
Selvom misbrug af Telegram til cyberkriminalitet ikke er nyt, viser kampagnen her, at angribere konstant udvikler deres metoder for at undgå opdagelse. Det stiller skærpede krav til både sikkerhedsteams og avanceret trusselsintelligens for at holde trit med de stadig mere sofistikerede angreb.
Læs mere
- https://www.netskope.com/blog/telegram-abused-as-c2-channel-for-new-golang-backdoor
- https://hackread.com/hackers-exploit-telegram-api-spread-golang-backdoor/
- https://securityaffairs.com/174306/malware/golang-based-backdoor-uses-telegram-for-c2.html
- https://www.infosecurity-magazine.com/news/telegram-c2-channel-golang-malware/
- https://thehackernews.com/2025/02/new-golang-based-backdoor-uses-telegram.html>