Хакеры используют продвинутые методы распространения червей для взлома аккаунтов Telegram, согласно отчету Cosine из SlowMist. После взлома аккаунта Telegram хакеры общаются с контактами на английском и китайском языках, используя поддельное программное обеспечение для встреч, такое как Zoom, вредоносные репозитории кода и сторонние инструменты или игры для распространения вредоносного ПО. После кражи активов или аккаунтов хакеры быстро используют скомпрометированные аккаунты для запуска дальнейших атак, постоянно совершенствуя свои методы для повышения эффективности распространения.