أصبح تطبيق تيليجرام، الذي عرف في السابق بتركيزه على الخصوصية، منصة تشغيل قوية يستخدمها مجرمو الإنترنت على نطاق واسع. فما كان يباع في منتديات الويب المظلم، أصبح اليوم متاحاً بسرعة أكبر وعلى نطاق أوسع عبر تيليجرام.
لقد غير هذا التحول جذرياً أساليب تواصل وتعاون وتنسيق الهجمات السيبرانية، مما يمثل مصدر قلق متزايد لفرق الأمن السيبراني في الشركات حول العالم.
تيليجرام: منصة متكاملة لعمليات الجريمة السيبرانية
لعدة سنوات، كانت أسواق الويب المظلم المعتمدة على شبكة تور، مثل Hydra Market وRaidForums، هي التجمعات الرئيسية للمجرمين السيبرانيين. كانت هذه المنصات تعتمد على أنظمة السمعة وآليات الضمان، لكنها كانت تحمل نقطة ضعف حاسمة؛ فبمجرد إغلاقها من قبل جهات إنفاذ القانون، كانت المنظومات بأكملها تنهار، مما يجبر المجرمين على إعادة بناء بنيتهم التحتية من الصفر.
لكن تيليجرام يغير هذه المعادلة تماماً. فبسبب سهولة إعادة إنشاء القنوات وتوجيه قواعد المشتركين عبر روابط إعادة التوجيه، تواجه العمليات الإجرامية القليل من التوقف meaningful downtime بعد أي عملية إغلاق.
أشارت أبحاث من شركة “ساي فيرما” (Cyfirma) إلى هذا التحول الهيكلي في تحليل مفصل نشر بتاريخ 26 فبراير 2026، موضحة أن تيليجرام يستضيف الآن مجموعة واسعة من الأنشطة الإجرامية. تشمل هذه الأنشطة توزيع سجلات الأدوات الخبيثة، ووسطاء الوصول الأولي، واشتراكات خدمات البرمجيات الخبيثة كخدمة (Malware-as-a-Service)، وقنوات تسريب بيانات برامج الفدية (ransomware leak channels)، وتنسيق هجمات مجموعات الهاكتفيزم.
لقد حلّت البنية الهجينة للمنصة، التي تجمع بين القنوات العامة ومحادثات المجموعات الخاصة والروبوتات الآلية، بفعالية محل الحواجز التقليدية التي كانت تميز المشاركة في العالم السفلي للإنترنت.
من الصعب تجاهل حجم هذا التهديد. تستخدم مجموعات برامج الفدية تيليجرام لتشويه سمعة الضحايا، وتنسيق برامج المنتسبين، وتجنيد مشغلين مهرة. كما تستخدم مجموعات الهاكتفيزم مثل NoName057(16) وفريق Cyber Fattah لتسجيل الهجمات وبث رواياتهم لجمهور عالمي. ويقوم مشغلو البرمجيات الخبيثة بإدارة التسويق ودعم العملاء وتحديثات المنتجات كلها عبر منصة واحدة، في تغليف للأدوات الإجرامية يشبه إلى حد كبير ما تقوم به شركات البرمجيات الشرعية.
بالنسبة للشركات، يعني هذا أن التهديدات أصبحت أكثر تنظيماً، وتتحرك بشكل أسرع، وأصبح من الصعب بشكل متزايد تتبعها عبر طرق استخبارات الويب المظلم التقليدية.
وسطاء الوصول الأولي يستهدفون الشبكات المؤسسية
أحد أخطر التهديدات المباشرة لأمن الشركات هو دور تيليجرام كسوق للوصول غير المصرح به إلى الأنظمة المؤسسية. يستخدم وسطاء الوصول الأولي (Initial Access Brokers)، والمعروفون اختصاراً بـ IABs، قنوات مخصصة للإعلان عن بيانات الاعتماد المسروقة ونقاط الدخول التي تم التحقق منها إلى بوابات الشبكات الافتراضية الخاصة (VPN) و جلسات بروتوكول سطح المكتب البعيد (RDP) والمنصات السحابية مثل Azure و AWS و Okta.
عادة ما تتضمن كل قائمة تفاصيل حول إيرادات الشركة المستهدفة، ودولتها، وقطاعها الصناعي، ومستوى الامتيازات، مما يوفر لمشتري برامج الفدية كل ما يحتاجون إليه لتقييم عملية الشراء قبل الالتزام.
ما يجعل هذا النموذج خطيراً بشكل خاص هو التحقق في الوقت الفعلي الذي تم بناؤه في هذه المعاملات. قبل إتمام الصفقة، غالباً ما يُطلب من البائعين إثبات أن وصولهم حقيقي. قد يشمل ذلك مشاركة مخرجات Active Directory، وملفات التكوين، أو نتائج الأوامر الحية من الأنظمة المخترقة.
تعمل روبوتات تيليجرام على تبسيط هذه المعاملات بشكل أكبر من خلال أتمتة فحوصات بيانات الاعتماد، وتأكيد الدفع، والتحقق من صحة الاشتراكات. هذا يلغي عملية التفاوض البطيئة التي ميزت منتديات العالم السفلي القديمة ويجعل شراء الوصول المؤسسي بسيطاً تقريباً مثل أي معاملة عبر الإنترنت.
لتقليل التعرض لهذا التهديد، يجب على المؤسسات فرض المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي عبر جميع نقاط الوصول لـ VPN وبروتوكول سطح المكتب البعيد والخدمات السحابية. يجب ألا يتم تعريض بروتوكول سطح المكتب البعيد للإنترنت مباشرة، ويجب أن تحكم مبادئ الثقة الصفرية (zero-trust) جميع عمليات الوصول عن بعد.
يجب على فرق الأمن مراقبة نشاط تسجيل الدخول غير العادي، خاصة من عناوين IP أو المناطق الجغرافية غير المألوفة، حيث يمكن أن يشير ذلك إلى إساءة استخدام مبكرة لبيانات الاعتماد. يجب أن تتوسع برامج استخبارات التهديدات لتشمل قنوات تيليجرام التي تعلن بنشاط عن قوائم الوصول المؤسسي، بالإضافة إلى تغطية الويب المظلم التقليدي.
تعتبر عمليات التدقيق المنتظمة لبيانات الاعتماد والإزالة الفورية للحسابات غير المستخدمة ضرورية أيضاً في تضييق مساحة الهجوم التي يعتمد عليها وسطاء الوصول الأولي.