Um novo backdoor implantado como parte de um recente ataque de ransomware DragonForce está usando servidores de retransmissão do Microsoft Teams para comando e controle (C&C), de acordo com a equipe de caçadores de ameaças Symantec e Carbon Black, da Broadcom.
O grupo DragonForce está ativo desde 2023, operando com estrutura de cartel e adotando técnicas altamente avançadas nos últimos meses, o que sugere maturidade organizacional e alocação significativa de recursos.
Rastreado como Backdoor.Turn, o malware recém-identificado é escrito em Go e oculta, de forma sofisticada, a comunicação com o servidor de C&C como se fosse tráfego legítimo do Microsoft Teams.
"O Backdoor.Turn obtém um token anônimo de visitante do Teams a partir dos serviços de identidade baseados no Skype da Microsoft, usa um relay TURN (Traversal Using Relays around NAT, ou Travessia Usando Retransmissores ao Redor do NAT) legítimo da Microsoft para estabelecer a conexão e, em seguida, executa uma sessão QUIC (protocolo de transporte de baixa latência sobre UDP) com o verdadeiro servidor de C&C do atacante", observam os caçadores de ameaças.
Segundo os pesquisadores, esta parece ser a primeira família de malware a abusar da infraestrutura de relay TURN dessa forma.
"É relativamente incomum ver operadores de ransomware usando suas próprias ferramentas personalizadas, e é particularmente incomum vê-los usando uma ferramenta personalizada tão sofisticada quanto o Backdoor.Turn", observam.
O backdoor personalizado foi usado em um ataque a uma empresa de serviços dos Estados Unidos, que provavelmente foi comprometida por meio de uma vulnerabilidade desconhecida em um servidor SQL ou MSSQL (Microsoft SQL Server). Os operadores do DragonForce podem ter comprado o acesso à empresa de um corretor de acessos.
De acordo com a Symantec e a Carbon Black, os hackers acessaram a rede da vítima em dezembro de 2025 e usaram carregamento lateral de DLLs (bibliotecas de vínculo dinâmico) para executar código que buscaria malwares adicionais em servidores remotos.
Os hackers estabeleceram persistência, garantiram acesso ao ambiente comprometido, fizeram reconhecimento e empregaram uma estratégia sofisticada de BYOVD (Bring Your Own Vulnerable Driver, ou "Traga Seu Próprio Driver Vulnerável") para explorar falhas conhecidas em drivers assinados, obtendo assim acesso em nível de kernel (núcleo do sistema operacional) e encerrando processos de segurança.
Eles também implantaram o ransomware DragonForce para criptografia e exfiltração de dados, e o malware Backdoor.Turn para manter a persistência nos sistemas comprometidos mesmo após a implantação do ransomware.
O backdoor permite que os agentes de ameaça executem comandos, criem processos, realizem varredura de rede e mapeamento de LDAP (Lightweight Directory Access Protocol, ou Protocolo Leve de Acesso a Diretórios) e AD (Active Directory, serviço de diretório da Microsoft), movam-se lateralmente usando credenciais roubadas e exfiltrem credenciais dos navegadores instalados nos sistemas infectados.
"Os atacantes nesta campanha utilizam técnicas cibernéticas excepcionalmente sofisticadas. A configuração do Backdoor.Turn faz com que os produtos de segurança enxerguem apenas tráfego de C&C indo para servidores legítimos do Teams, deixando os defensores sem saber que dados estão sendo desviados por agentes maliciosos", observam os pesquisadores.
