Laut FBI und CISA versenden die russischen Akteure Phishing-Nachrichten, die wie automatisierte Support-Hinweise gestaltet sind. Sie sollen die Opfer dazu bringen, einen Link anzuklicken oder Verifizierungscodes und Konto-PINs preiszugeben.
„Wenn der Nutzer eine der angeforderten Aktionen ausführt, verschafft er den Akteuren unwissentlich unbefugten Zugriff auf sein Konto – entweder, indem das Gerät des Angreifers als verknüpftes Gerät hinzugefügt wird, oder durch eine vollständige Kontoübernahme. Im weiteren Verlauf der Kampagne könnten die Akteure zusätzliche Techniken einsetzen, etwa Malware zur Infektion des Opfers“, erklären die Behörden. Nach der Übernahme eines Kontos könnten die Angreifer Nachrichten und Kontaktlisten einsehen, selbst Nachrichten versenden und weitere Konten angreifen.
Der Hinweis konzentriert sich zwar auf Signal-Konten, doch das FBI betont, er könne für jede Messaging-App gelten. Die Behörde ruft dazu auf, bei unverifizierten Nachrichten vorsichtig zu sein und die persönliche Cybersicherheit zu stärken. Ausdrücklich stellt das FBI klar, dass weder Signal noch andere Apps eine Schwachstelle aufweisen – die Kampagne umgeht die Verschlüsselung gezielt über die Nutzer selbst.
Die zweite Flash-Warnung des FBI betrifft das iranische Geheimdienstministerium MOIS, das Telegram als Infrastruktur nutzt, um mit Schadsoftware auf den Geräten von Dissidenten, Journalisten und weiteren Zielpersonen zu kommunizieren. Die Malware erlaubt es, Informationen zu stehlen und die Betroffenen zu überwachen. Infizierte Geräte werden mit Bots auf Telegram verbunden, über die Bildschirmaufnahmen oder Dateien aus den Geräten der Opfer abgezogen werden können.
Das FBI bringt diesen Einsatz von Telegram direkt mit der mutmaßlich iranischen Gruppe Handala Hack in Verbindung, die sich kürzlich zu einem Angriff auf den Medizintechnikhersteller Stryker bekannte. Die Schadsoftware wurde demnach teils als der KI-Videogenerator Pictory, der Passwortmanager KeePass oder als Telegram getarnt. Nach dem Öffnen verband sie sich mit einem von der Regierung kontrollierten Telegram-Bot, der eine bidirektionale Kommunikation zwischen dem kompromittierten Gerät und api.telegram[.]org ermöglichte.
Mindestens ein Opfer wurde über Social-Media-Messaging-Apps kontaktiert, wobei sich die Angreifer als technischer Support der jeweiligen App ausgaben und das Opfer dazu brachten, eine als harmlos getarnte Malware der ersten Stufe zu akzeptieren. War der erste Zugriff hergestellt, wurde weitere Schadsoftware nachgeladen, die unter anderem Bildschirm- und Audioaufnahmen, das Erfassen von Cache-Daten, das Komprimieren sowie das Löschen von Dateien ermöglichte. Laut FBI war die erste Malware-Stufe offenbar auf die Lebensgewohnheiten des Opfers zugeschnitten, was auf vorherige Zielaufklärung hindeutet.
Mehrere Fachleute werten den Einsatz von Telegram als Bindeglied einer Kompromittierung als wachsenden Trend bei Cyberkriminellen und staatlich gestützten Akteuren, die den Dienst als Command-and-Control-Infrastruktur nutzen. Ensar Seker, CISO bei SOCRadar, erklärt, Telegram erlaube es Angreifern, schädlichen Datenverkehr in vertrauenswürdige, verschlüsselte Plattformen einzuschleusen. „Durch die Nutzung einer weit verbreiteten Anwendung wie Telegram senken Gruppen wie Handala die Wahrscheinlichkeit einer Entdeckung erheblich, weil Sicherheitskontrollen diesen Verkehr oft standardmäßig zulassen“, so Seker. Verschlüsselte Messaging-Plattformen würden so zu einer doppelt nutzbaren Infrastruktur; Sicherheitsteams müssten ihre Vertrauensannahmen überdenken und Kontrollmechanismen wie Protokollierung, Anomalieerkennung und strikte Zugriffsregeln einführen.
