Telegram成黑客新跳板：1个API接口让Windows防线

3月30日，K7 Security Labs发布了一份让安全圈坐不住的报告。他们追踪到一款名为ResokerRAT的新型木马，正把Telegram的Bot API变成攻击者的"隐形专线"——不是偷数据，而是直接把整个通讯基础设施据为己有。

这事儿的离谱之处在于：当企业IT还在头疼怎么封禁可疑域名时，攻击者已经大摇大摆地住进了员工每天都在用的聊天工具里。

把Telegram变成"合法"的犯罪通道

传统木马需要自己搭建指挥服务器（C2），这相当于犯罪分子要在街上租个门面，迟早被巡逻的发现。ResokerRAT的操作是把犯罪现场搬进人来人往的商场——Telegram的服务器集群。

恶意软件作者硬编码了一个Bot令牌和聊天ID，然后像普通用户一样调用getUpdates接口轮询新指令。所有流量走HTTPS加密，域名是telegram.org，证书是正规的。企业防火墙看到这一幕，基本会放行。

K7的研究员Priyadharshini在报告中打了个比方：这就像是把密信塞进每天 millions 人经过的地铁通勤人流里，安检员不可能逐个拆开检查。

更狡猾的是双向通道设计。攻击者不仅能下发指令， stolen data 也能通过同一个Bot回传。屏幕截图、键盘记录、系统信息——全部打包成Telegram消息发出去，混在正常的聊天记录里。

企业网络监控工具通常会对异常DNS请求、陌生IP连接报警，但对telegram.org的HTTPS流量？那是白名单常客。

Resoker.exe的"入职流程"：从潜伏到掌权

这个可执行文件启动后的第一件事，是确保自己是"独苗"。它创建一个名为"Global\ResokerSystemMutex"的互斥锁，防止重复感染导致暴露。

接着进入反侦察模式。调用IsDebuggerPresent API检查是否有调试器附着，一旦发现，立即触发自定义异常处理打乱分析。这相当于小偷进屋前先看看有没有监控，有就假装走错门。

权限升级环节更直接。Resoker.exe用ShellExecuteExA带上"runas"参数重启自己，弹出一个UAC提示（图4）。用户如果习惯性点击"是"，木马就拿到了管理员令牌。很多非技术岗位的Windows用户对这个弹窗已经麻木了。

站稳脚跟后，它开始清理"目击证人"。Taskmgr.exe（任务管理器）、Procexp.exe（Process Explorer）、ProcessHacker.exe——这些安全分析工具一旦被检测到运行，会被立即终止。同时通过SetWindowsHookExW安装全局键盘钩子，屏蔽ALT+TAB和CTRL+ALT+DEL。

用户被困在一个看似正常的系统里，实际上已经失去了控制权。

功能清单：一个"瑞士军刀"式的间谍工具

Priyadharshini的团队拆解出了完整的指令集。ResokerRAT不是那种只会偷密码的单一功能木马，它的设计目标是长期驻留、全面监控。

屏幕捕获功能可以按需抓取画面或持续监控。键盘记录器记录所有输入，包括那些没按回车的内容——密码、搜索词、内部系统账号。权限维持机制确保系统重启后仍能复活。

它还能下载并执行额外载荷。这意味着初始感染只是第一步，攻击者可以根据目标价值随时投放勒索软件、挖矿程序或更专业的间谍工具。

Task Manager被禁用不是技术炫技，而是心理战。当普通用户发现无法打开任务管理器查看异常进程时，第一反应通常是重启电脑——而这往往解决不了问题，因为木马已经写了启动项。

为什么Telegram成了"完美掩护"

Bot API的设计初衷是让开发者用简单HTTP请求与Telegram交互。任何能联网的设备都能成为Bot，不需要服务器，不需要复杂认证。这个低门槛特性被攻击者逆向利用。

从网络流量角度看，ResokerRAT的行为模式和一个正常的通知Bot没有区别：定期GET请求、JSON响应、偶尔POST消息。深度包检测（DPI）工具需要解析到应用层才能发现异常，而TLS加密让这变得困难。

Telegram本身不是漏洞来源，它的基础设施被当作"可信中间人"。这种攻击模式被安全社区称为Living-off-the-Land的变种——不是利用系统自带工具，而是利用互联网上的合法服务。

K7 Security Labs的检测数据显示，这类滥用云服务的木马在过去18个月增长了340%。ResokerRAT不是第一个，也不会是最后一个。

防御者的困境：封还是不封？

企业安全团队现在面临一个尴尬选择。全面封禁Telegram会影响正常业务沟通，尤其是跨国团队和远程办公场景。但不封，就等于给攻击者留了一条高速公路。

一些机构开始部署Bot流量分析，通过行为模式识别异常：正常Bot的交互频率、消息大小、时间分布都有规律，而C2通信往往呈现机械化的轮询特征。但这需要相当精细的基线建模，中小公司的安全运营中心很难负担。

端点检测与响应（EDR）工具是另一条防线。ResokerRAT在本地有不少可疑行为——创建全局钩子、终止安全进程、请求管理员权限——这些都可以被行为分析捕获。前提是EDR本身没有被优先干掉。

Priyadharshini在报告末尾提到了一个细节：ResokerRAT的代码中残留着一些未使用的功能模块，包括针对macOS的路径字符串和某款国产杀毒软件的规避逻辑。开发者在为跨平台部署做准备，同时也在针对特定地区优化。

下一个版本的ResokerRAT会出现在哪里？攻击者的Telegram Bot列表里，又藏着多少尚未被发现的"数字内鬼"？