Mogelijke gerichte aanval met behulp van 1-klik RCE in Telegram Desktop. Context: Ik ben het doelwit van voortdurende aanvallen en gebruik een geïsoleerde omgeving (een virtuele machine) om desktopversies van Telegram uit te voeren. Onlangs kwam ik gedrag tegen dat wijst op een mogelijk gebruik van een 1-klik RCE-exploit. Tijdlijn van gebeurtenissen: 1. Eerste interactie: • Een contact stuurde me een bericht op Telegram. • In de Telegram-zijbalk (aan de rechterkant) zag ik dat de gebruiker zijn eigen kanaal had. • Ik ging naar dat kanaal — alles werd normaal weergegeven, Telegram gedroeg zich zoals verwacht. 2. Volgende interactie: • Enige tijd later stuurde dezelfde gebruiker me opnieuw een bericht. • Ik merkte op dat in de zijbalk, in plaats van de vorige kanaalnaam, er nu het label "kanaal verwijderd" stond. • Dit trok mijn aandacht genoeg dat ik op die regel klikte (gewoon om te controleren of het kanaal echt verwijderd was). • Op dat moment herstartte Telegram Desktop plotseling zonder enige waarschuwing of foutmelding. 3. Reactie: • Onmiddellijk daarna schakelde ik de virtuele machine uit zonder te wachten om te zien wat er daarna zou gebeuren. • Gelukkig had ik back-ups van mijn sessies en account, dus er was geen schade. 4. Bevestiging: • Later gaf deze gebruiker me rechtstreeks toe dat dit een gerichte aanval was met behulp van 1-klik RCE. Ik ken deze gebruiker en communiceer af en toe met hem — hij is een lid van Conti (Target). Ik monitor zijn kanaal. Elke keer verwijdert hij de chat met mij en is dan de eerste die weer een gesprek begint. Dit is niet de eerste gerichte aanval op mij (tot nu toe zonder succes). Belangrijke details: • Ik heb geen externe links aangeklikt of bijlagen geopend. • De enige actie was het klikken op een verwijderd Telegram-kanaal dat in de zijbalk werd weergegeven. • Deze actie veroorzaakte onvoorspelbaar clientgedrag — een spontane herstart van Telegram Desktop. Conclusie: Het is zeer waarschijnlijk dat een 1-klik kwetsbaarheid werd geëxploiteerd die verband houdt met de verwerking van inhoud of metadata die geassocieerd is met Telegram-kanalen (mogelijk in de preview of kanaal-URL-handler). De aanval was ontworpen om te worden geactiveerd door een enkele gebruikersactie — het klikken op een aangepast of nep Telegram-interface-element.