Threat actors associados ao ransomware DragonForce foram observados usando um trojan de acesso remoto, ou RAT, desenvolvido em Go e chamado Backdoor.Turn, para ocultar o tráfego de command and control, ou C2, dentro da infraestrutura de relay do Microsoft Teams.
Segundo análises da Symantec, da Broadcom e do Carbon Black, o backdoor foi implantado contra uma grande empresa de serviços dos Estados Unidos.
O nome da companhia não foi divulgado.
“O Backdoor.Turn obtém um token anônimo de visitante do Teams a partir dos serviços de identidade da Microsoft, com suporte do Skype, usa um relay TURN legítimo da Microsoft para estabelecer a conexão e, em seguida, executa uma sessão QUIC com o verdadeiro servidor de command and control do atacante”, afirmou a Threat Hunter Team em relatório.
“Para os defensores de rede, o único tráfego visível eram conexões de saída para servidores legítimos do Microsoft Teams.
Os atacantes permaneceram na rede da vítima por um período entre um e dois meses.”
O caso marca a primeira ocorrência, documentada publicamente, de threat actors abusando da infraestrutura de relay Traversal Using Relays around NAT, ou TURN, da Microsoft.
A suspeita é de que o threat actor tenha obtido acesso inicial ao explorar uma vulnerabilidade em um servidor SQL ou MS-SQL, embora a natureza exata da falha ainda seja desconhecida.
Também é possível que o acesso tenha sido comprado de um initial access broker, ou IAB.
A atividade maliciosa inicial na rede da vítima começou em dezembro de 2025, quando os atacantes executaram um comando PowerShell para baixar um arquivo ZIP sob o pretexto de um hotfix de suporte técnico.
O ZIP foi usado para disparar um ataque de DLL side-loading, que então executou uma DLL maliciosa para fazer reconhecimento, estabelecer persistência e silenciar softwares de segurança usando um driver da Huawei, identificado como HWAuidoOs2Ec.sys.
Isso foi possível por meio da técnica conhecida como bring your own vulnerable driver, ou BYOVD.
Esse driver também foi usado em uma campanha de malvertising em grande escala, voltada a pessoas nos Estados Unidos que buscavam documentos relacionados a impostos, embora esse episódio tenha ocorrido depois do incidente de ransomware.
Outros drivers usados para esse fim incluem:
wsftprm.sys (
CVE-2023-52271
)
GameDriverX64.sys (
CVE-2025-61155
)
K7RKScan.sys (
CVE-2025-1055
)
ABYSSWORKER, um driver malicioso personalizado já observado em ataques com ransomware Medusa
O aspecto mais notável do ataque é a execução do Backdoor.Turn por injeção no processo legítimo DbgView64.exe, depois que o ransomware DragonForce já havia sido implantado.
Isso sugere uma tentativa de manter acesso contínuo ao host comprometido para ataques futuros ou até para revendê-lo com lucro.
O mecanismo do Backdoor.Turn, baseado em TURN, se apoia em uma técnica discreta de comunicação com C2 chamada Ghost Calls, documentada pela Praetorian em agosto de 2024.
O backdoor oferece uma ampla gama de capacidades, incluindo execução de comandos, criação de processos, varredura de rede, busca em LDAP e Active Directory, movimento lateral com base em credenciais e roubo de credenciais de navegador.
“O backdoor solicita um token de visitante ao backend do Microsoft Teams/Skype, usa esse token para interagir com a infraestrutura associada ao Teams, no relay TURN, e então estabelece conectividade de saída”, explicaram a Symantec e o Carbon Black.
“Ele obtém um token de autenticação de visitante, anônimo, do Teams, com suporte dos serviços de identidade do Skype.
Em seguida, usa um servidor legítimo da Microsoft como servidor de relay TURN durante a configuração da conexão.
Após a configuração assistida pelo relay, o malware estabelece uma sessão QUIC direta com o servidor C2, que é malicioso.”
As conclusões mostram um grupo de hackers que recorre a táticas sofisticadas de cibercrime para executar ataques direcionados de alto impacto, enquanto mantém as vítimas no escuro sobre a exfiltração furtiva de dados.
O cenário ganha ainda mais relevância porque a Hackledorb, threat actor por trás do DragonForce, abandonou o modelo tradicional de ransomware como serviço, ou RaaS, e migrou para uma estrutura de cartel altamente organizada e formalizada.
“O cronograma operacional revela um padrão de desenvolvimento contínuo de capacidades, com a adoção de técnicas altamente avançadas se tornando uma marca de sua atividade após 2025”, afirmou a empresa.
“A implantação do Backdoor.Turn, combinada com sua evasão BYOVD multivetorial, coloca esse grupo entre os mais capazes e persistentes que operam hoje no ecossistema de ransomware.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...