חוקרי מעבדת קספרסקי חשפו התקפה פעילה בשטח, המבוצעת באמצעות קוד זדוני חדש המנצל פרצת יום אפס בגרסת המחשב של אפליקציית טלגרם. הפירצה משמשת כדי להחדיר למחשב קוד זדוני רב יכולות, אשר בהתאם למחשב בו הוא מופעל, יכול לשמש כדלת אחורית או ככלי להפעלת תוכנת כריה. על פי המחקר, הפירצה מנוצלת מאז מרץ 2017 לצורך כריית מטבע קריפטוגרפי כגון Monero ו-Zcash. שירותי מסרים מידיים היו מאז ומתמיד חלק מהחיים הדיגיטליים שלנו, והם מתוכננים כדי להקל עלינו לשמור על קשר עם חברים ומשפחה. אך הם גם יכולים לסכן את המשתמש, במקרה של מתקפת סייבר. לדוגמא, בחודש שעבר מעבדת קספרסקי פירסמה מחקר לגבי קוד זדוני מתקדם לניידים בשם Skygofree, אשר מסוגל לגנוב הודעות WhatsApp.
על פי המחקר, פירצת יום האפס שהתגלתה בטלגרם התבססה על שיטת RLO right-to-left override ל-Unicode. השיטה משמשת בדרך כלל לקידוד שפות הנכתבות מימין לשמאל, כגון עברית וערבית. עם זאת, היא גם שימשה את יוצרי הקוד הזדוני כדי להטעות משתמשים ולהוביל אותם להורדת קבצי קוד זדוני מחופשים, לדוגמא כתמונות. תוקפים הסתירו בשם הקובץ תווי Unicode אשר הפכו את הסדר של התווים, ובכך שינו את שם הקובץ עצמו. כתוצאה מכך, משתמשים הורידו קוד זדוני נסתר אשר הותקן לאחר מכן במחשבים שלהם. מעבדת קספרסקי דיווחה על על הפירצה לטלגרם, ונכון לעת פרסום הדברים, פירצת יום האפס לא נצפתה יותר במוצרי החברה.
במהלך הניתוח שלהם, מומחי החברה זיהו מספר תרחישי פריצה שהופעלו בשטח מצד גורמי האיום. הפירצה נוצלה בעיקר כדי להחדיר קוד זדוני לכרייה אשר יכול להיות מזיק מאוד למשתמשים. באמצעות שימוש בעוצמת המחשוב של הקורבן, עברייני הסייבר כרו סוגים שונים של מטבע קריפטוגרפי, כגון Monero, Zcash, Fantomcoin ואחרים. מעבר לכך, במהלך ניתוח השרתים של אחד מגורמי האיום חוקרי מעבדת קספרסקי מצאו ארכיב המכיל קבצי cache לוקליים של טלגרם אשר נגנבו מהקורבנות.
בנוסף, עם ניצול מוצלח של הפירצה, הותקנה במחשב דלת אחורית המשתמשת ב-API של טלגרם כפרוטוקול לפיקוד ושליטה. דלת אחורית זו מספקת להאקר גישה מרחוק למחשב הקורבן – אחרי התקנה היא מתחילה לפעול במצב שקט המאפשר לתוקף להימנע מחשיפה ברשת ולהפעיל פקודות שונות, כולל התקנות נוספות של כלי ריגול. הממצאים שהתגלו במהלך המחקר מצביעים על עברייני הסייבר ממקור רוסי.