DragonForce utiliza Microsoft Teams para ocultar tráfico malicioso
Publicado el
Introducción
Recientemente, se ha detectado que el grupo de ransomware DragonForce está utilizando un troyano de acceso remoto (RAT) personalizado, denominado Backdoor.Turn, para ocultar el tráfico de comando y control (C2) dentro de la infraestructura de relés de Microsoft Teams. Este método ha sido documentado por las empresas Symantec y Carbon Black, que informan que el ataque se dirigió a una importante firma de servicios en EE. UU., aunque no se ha revelado su nombre.
Funcionamiento del ataque
Backdoor.Turn obtiene un token de visitante anónimo de los servicios de identidad respaldados por Skype de Microsoft. Utiliza un relé TURN legítimo de Microsoft para establecer la conexión y luego ejecuta una sesión QUIC hacia el servidor C2 del atacante. De este modo, los defensores de la red solo pueden observar conexiones salientes a servidores legítimos de Microsoft Teams, lo que complica la detección del ataque. Se estima que los atacantes estuvieron en la red de la víctima entre uno y dos meses.
Esta es la primera vez que se documenta públicamente el abuso de la infraestructura TURN de Microsoft por parte de actores de amenazas. Se sospecha que el acceso inicial se logró mediante la explotación de una vulnerabilidad en un servidor SQL o MS-SQL, aunque la naturaleza exacta de la falla sigue siendo desconocida. También es posible que el acceso se haya obtenido a través de un corredor de acceso inicial (IAB).
Metodología de infiltración
La actividad maliciosa inicial en la red de la víctima comenzó en diciembre de 2025. Los atacantes ejecutaron un comando de PowerShell para desplegar un archivo ZIP bajo el pretexto de una solución de soporte técnico. Este archivo ZIP lanzó un ataque de DLL side-loading, que permitió a los atacantes realizar reconocimiento, establecer persistencia y silenciar el software de seguridad utilizando un controlador de Huawei llamado HWAuidoOs2Ec.sys. Este método se conoce como técnica BYOVD (bring your own vulnerable driver).
Este controlador también se ha utilizado en una campaña de malvertising a gran escala, dirigida a individuos en EE. UU. que buscaban documentos relacionados con impuestos, aunque estos eventos ocurrieron después del incidente de ransomware.
Entre los otros controladores usados se encuentran: - wsftprm.sys (CVE-2023-52271) - GameDriverX64.sys (CVE-2025-61155) - K7RKScan.sys (CVE-2025-1055) - ABYSSWORKER, un controlador malicioso previamente observado en ataques de ransomware Medusa.
Persistencia y capacidades del troyano
Es notable que Backdoor.Turn se ejecuta inyectándolo en el proceso legítimo DbgView64.exe tras el despliegue del ransomware DragonForce. Esto sugiere un intento de mantener el acceso continuo al sistema comprometido para futuros ataques o la reventa del acceso a terceros. La mecánica TURN del troyano se basa en una técnica de comunicación C2 sigilosa denominada Ghost Calls, documentada por Praetorian en agosto de 2024.
El troyano ofrece múltiples capacidades, que incluyen la ejecución de comandos, creación de procesos, escaneo de redes, búsqueda en LDAP y Active Directory, movimiento lateral basado en credenciales y robo de credenciales del navegador. Symantec y Carbon Black explican que el troyano solicita un token de visitante a la infraestructura relacionada con Teams y establece conectividad saliente a través de un servidor TURN legítimo de Microsoft.
Conclusiones
Los hallazgos revelan cómo un grupo de hackers se apoya en técnicas avanzadas para llevar a cabo ataques dirigidos con un alto impacto, mientras mantienen a las víctimas desconectadas de la exfiltración de datos encubierta. Este desarrollo es particularmente significativo, ya que Hackledorb, el grupo detrás de DragonForce, ha evolucionado de un modelo tradicional de ransomware como servicio (RaaS) a una estructura de cartel altamente organizada. La adopción de técnicas avanzadas se ha convertido en una característica distintiva de sus actividades posteriores a 2025, lo que los posiciona como uno de los grupos de ransomware más capaces y persistentes en la actualidad.