Иранские хакеры всё активнее используют Telegram для управления вредоносным ПО и кражи данных

Речь идёт о системах, которые позволяют злоумышленникам удалённо управлять заражёнными устройствами, передавать команды и выкачивать похищенные данные. Такую тактику ранее описали сотрудники Федерального бюро расследований США. В выпущенном 20 марта 2026 года специальном предупреждении (FLASH Report) ФБР указало, что киберпреступные группы, связанные с Министерством разведки и безопасности Ирана, активно применяют Telegram-ботов для вывода конфиденциальной информации с устройств жертв.

Схема атаки начинается с социальной инженерии. По данным ФБР, злоумышленники выходят на потенциальных жертв через социальные сети, притворяясь сотрудниками техподдержки или известными личностями. Цель проста - убедить человека установить на своё устройство вредоносное ПО. Маскировка при этом довольно изощрённая: вредоносные файлы выдают себя за популярные приложения, включая средства для общения.

После того как жертва запускает такой файл, в дело вступает скрипт на языке PowerShell. С его помощью злоумышленники запускают основную нагрузку и вносят изменения в реестр Windows, чтобы обеспечить закрепление в системе (persistence) - способность переживать перезагрузку и оставаться незамеченными. Вредоносное ПО, использованное в этой кампании, умеет записывать видео с экрана и звук с микрофона, собирать данные из кеша браузера и упаковывать всё в zip-архивы. Именно эти архивы затем отправляются через Telegram.

Исследователи из Pulsedive подробно разобрали несколько образцов скриптов, доступных в Malware Bazaar. Первый из них - простой однострочник на PowerShell под именем ps.ps1. Он содержит закодированную в base64 команду, которая при расшифровке пытается скачать два дополнительных файла с облачного хранилища Vultr Object Storage и выполнить их. Файлы упакованы в zip-архив и распаковываются в папку C:\ProgramData\ssh-cache-default\, после чего запускается исполняемый файл RuntimeSSH.exe. На момент анализа оба загружаемых файла были недоступны, но, как отмечает отчёт, именно RuntimeSSH.exe используется для кражи данных.

Второй скрипт - cmd.ps1 - практически идентичен первому. Хеширование ssdeep, которое позволяет сравнивать файлы по фрагментам, показало различие всего в два символа. Единственное отличие - в cmd.ps1 явно указан путь к системной командной строке C:\Windows\System32\cmd.exe перед запуском PowerShell.

Третий образец кардинально отличается от двух предыдущих. Это VBS-скрипт, имя которого написано на фарси и переводится как что-то вроде "Список номеров людей, нуждающихся в реабилитационных услугах". Размер файла достигает 183 килобайта, а сам скрипт содержит почти 64 тысячи строк. Подавляющее большинство строк пусты - они служат лишь для того, чтобы раздуть размер и обмануть базовые антивирусные проверки. После удаления пустых строк остаётся всего 11 строк кода, из которых рабочими являются лишь несколько.

Внутри скрипта заложен массив чисел и длинная строка. Цикл обрабатывает эти данные, извлекая символы и преобразуя их в осмысленный код. После деобфускации становится ясно, что VBS-скрипт сначала проверяет размер жёсткого диска. Если он превышает 50 гигабайт, что характерно для современных компьютеров, скрипт запускает те же команды PowerShell, что и в первом случае. Таким образом, злоумышленники пытаются отсеять виртуальные машины и "песочницы" для анализа, где объём диска часто бывает небольшим.

Интересно, что в коллекции Malware Bazaar присутствует и PowerShell-версия этого же скрипта, практически идентичная по содержанию. Её размер также искусственно раздут до 183 килобайт.

Кроме того, исследователи изучили исполняемый файл smqdservice.exe, который, видимо, и является финальной полезной нагрузкой. Он поставляется в zip-архиве вместе с несколькими файлами с расширением .pyd (библиотеки Python) и динамической библиотекой python311.dll. При запуске этот файл сначала добавляет исключения в антивирус Microsoft Defender. Он прописывает, что Defender не должен проверять папку %ALLUSERSPROFILE%\SMQDServicePackages\ и путь C:\Users\Power\Downloads\Telegram Desktop. После этого smqdservice.exe загружает модули Python и начинает работу с Telegram.

Из бинарного файла эксперты извлекли данные о Telegram-боте, который используется для приёма команд и выгрузки файлов. Подключившись к нему, можно узнать его имя, идентификатор и список разрешённых действий.

Аналитики Pulsedive подчёркивают, что сами загрузчики весьма примитивны. Их единственная задача - скачать с облачного хранилища и запустить дополнительный архив. Однако вся цепочка наглядно демонстрирует, почему Telegram стал таким популярным инструментом у злоумышленников. Этот мессенджер легко смешивается с обычным легитимным трафиком, а создание новых ботов занимает минуты. Кроме того, Telegram давно превратился в онлайн-площадку, где преступники активно рекламируют вредоносное ПО, продают украденные данные и предлагают услуги. Для группировок, связанных с Ираном, это удобный способ наращивать возможности без необходимости разрабатывать собственные дорогие инструменты. Некоторые иранские группы, в частности Handela Hack, и вовсе ведут в Telegram открытые каналы, где хвастаются своими операциями.

URLs

• https://ppt1.sgp1.vultrobjects.com/ok.txt
• https://ppt1.sgp1.vultrobjects.com/RuntimeSSH_17.zip

MD5

• 2e22ceb75e5bb1e03c74e222867b33d9
• 39411f31ccad546ef3eeaa24a813b66b
• 4cb321c61ba994666546f37c300dae53
• 586d283e7a8979168c2270831ed8bff6
• 94779909cc510194900c3cc17d1194c8

SHA1

• 86dbec44e2ead21242acd6126ec4e829b75e8499
• aa26beaa960db344fec87df4f26414242d3c3d44
• ba3874ca96f9bca1daff22ef49ea7505d52b40d4
• c1b012acc1f39b52f9ae230af5bfdefd97820b1c

SHA256

• 153b0855f09b16ebdfdaf6e520e616751b3324b852193f97cb1c9b0958c7a93b
• 4b8297daccf9745b585916ab4466629c645749350563eb9b697326e11f2ae420
• c379c5d6d5a8cf20ef120327a3c8dd2331f60216d0a11b85d1fbdb2aae147646
• cbe9e32393529cd79e19a639a1d2da93fba06082be2bdb0c04241f269f98c773