Posible ataque dirigido utilizando RCE de un clic en Telegram Desktop. Contexto: Soy el objetivo de ataques continuos y utilizo un entorno aislado (una máquina virtual) para ejecutar versiones de escritorio de Telegram. Recientemente, encontré un comportamiento que indica un posible uso de un exploit de RCE de un clic. Cronología de eventos: 1. Interacción inicial: • Un contacto me envió un mensaje en Telegram. • En la barra lateral de Telegram (a la derecha), vi que el usuario tenía su propio canal. • Fui a ese canal: todo se mostró normalmente, Telegram se comportó como se esperaba. 2. Interacción posterior: • Algún tiempo después, el mismo usuario me envió un mensaje nuevamente. • Noté que en la barra lateral, en lugar del nombre del canal anterior, ahora había la etiqueta “canal eliminado.” • Esto llamó lo suficiente mi atención como para hacer clic en esa línea (solo para comprobar si el canal realmente estaba eliminado). • En ese momento, Telegram Desktop se reinició de repente sin ninguna advertencia ni mensaje de error. 3. Reacción: • Inmediatamente después, apagué la máquina virtual sin esperar a ver qué sucedería a continuación. • Afortunadamente, tenía copias de seguridad de mis sesiones y cuenta, así que no hubo daños. 4. Confirmación: • Más tarde, este usuario me admitió directamente que se trataba de un ataque dirigido utilizando RCE de un clic. Conozco a este usuario y me comunico con él de vez en cuando: es miembro de Conti (Objetivo). Monitoreo su canal. Cada vez, él elimina el chat conmigo y luego es el primero en iniciar una conversación nuevamente. Este no es el primer ataque dirigido hacia mí (hasta ahora, todos han sido fallidos). Detalles importantes: • No hice clic en ningún enlace externo ni abrí archivos adjuntos. • La única acción fue hacer clic en un canal de Telegram eliminado que se mostraba en la barra lateral. • Esta acción desencadenó un comportamiento impredecible del cliente: un reinicio espontáneo de Telegram Desktop. Conclusión: Es muy probable que se haya explotado una vulnerabilidad de un clic relacionada con el manejo de contenido o metadatos asociados con los canales de Telegram (posiblemente en la vista previa o en el manejador de URL del canal). El ataque fue diseñado para activarse con una sola acción del usuario: hacer clic en un elemento de interfaz de Telegram modificado o falso.