网络安全研究机构CYFIRMA近期发布了一份深度分析报告，指出Telegram平台已悄然转变为黑产分子的“核心集散地”。该平台成功地将暗网那套隐秘的灰色交易体系，迁移到了更便捷、更易触达的公开网络空间。

对于大多数普通用户而言，Telegram只是一个方便的个人与群组聊天工具。然而在网络安全专家眼中，这款应用已演变成一个更令人不安的存在。CYFIRMA的分析显示，该平台凭借其独特的架构，成功地让地下黑市的交易活动从传统的暗网角落，转移到了响应更快、触及更广的明面空间。

黑客为何选择在此“安家”

过去，购买被盗数据通常需要借助Tor网络，而该网络长期是执法部门的重点打击对象。传统地下论坛一旦被封禁，犯罪分子的活动就会彻底中断。但CYFIRMA的最新研究表明，Telegram恰好为黑客群体解决了这一核心痛点。

根据其博客披露，诸如IndoHaxSec等黑客组织已将该平台用作其“后备运营系统”——当主频道遭遇封禁时，仅需几分钟即可引导所有关注者转移至新的备份频道，使得犯罪活动几乎永不断线。这种顽强的韧性，让执法部门难以彻底斩断其黑色产业链条。

Telegram被用于实施多种网络犯罪（来源：CYFIRMA）

数据交易的“高速集市”

如今的Telegram已不仅是个聊天工具，更演变为一个高度自动化的“犯罪商城”。黑客利用预设脚本的机器人（Bot）实现自动化运营：这些程序可在数秒内检索数百万条被盗的密码记录，或完成一笔非法支付交易。目前，平台主要流通以下几类典型的黑产商品：

• 初始访问权限：即所谓“企业大门的钥匙”。中间商兜售直接入侵大型企业的通道，不仅提供接入端口的承诺，还会展示企业内部VPN门户或私有云控制台的实时截图作为凭证。
• 恶意软件即服务：网络罪犯可以订阅病毒工具包，窃密程序、加载器等恶意工具会像正规软件一样定期更新。
• 日志云库：这是全球受感染计算机窃取的账号密码合集，构成了一个可供海量检索的庞大数据库。
• 勒索营销：勒索软件组织通过公开频道威胁企业，发布文件泄露倒计时和隐私文件样本，以逼迫受害者支付赎金。

研究人员指出：“对逐利者而言，Telegram是可扩展的网店与客服中心；对黑客活动分子，它是动员宣传的扩音器；对国家背景的行动者，则成为信息与泄密数据的快速分发渠道。该平台通过降低技术门槛同时保持操作灵活性，正逐步替代传统的Tor生态系统。”

犯罪活动与执法协作的悖论

尽管Telegram向全球执法机构提供的用户数据量显著增长，但平台上的网络犯罪活动仍在持续扩张。透明度报告显示，2024年该平台向当局提供了数百次电话号码、IP地址等识别信息：仅美国就处理了近900项执法请求，涉及2200余名用户；英国当局获取了142起案件涉及293名用户的数据，较此前个位数的请求量激增。

这种矛盾现象表明：数据共享虽有助于事后追踪嫌疑人，却未能有效遏制平台上网络犯罪社群的发展。更令人担忧的是，Telegram正推动网络犯罪走向专业化与平民化，将原本隐秘的地下世界，改造成一个高效运转的自动化产业。