Se ha observado que los atacantes asociados con el ransomware DragonForce utilizan un troyano de acceso remoto (RAT) personalizado basado en Go llamado Backdoor.Turn para ocultar el tráfico de comando y control (C2) dentro de la infraestructura de retransmisión de Microsoft Teams.
Según una investigación de Symantec, propiedad de Broadcom, y Carbon Black, la puerta trasera se implementó contra una gran empresa de servicios estadounidense. El nombre de la empresa no fue revelado.
«Backdoor.Turn obtiene un token de visitante anónimo de Teams del servicio de identificación asistida de Skype de Microsoft y utiliza un relé legítimo de Microsoft TURN para configurar una conexión y realizar una sesión QUIC al servidor de comando y control (C2) real del atacante», dijo Threat Hunter Team en un informe compartido con The Hacker News.
«Para los defensores de la red, el único tráfico que podían ver eran las conexiones salientes a servidores legítimos de Microsoft Teams. El atacante había estado presente en la red de la víctima durante uno o dos meses».
Este desarrollo marca el primer caso documentado públicamente de un actor de amenazas que explota el Traversal de Microsoft utilizando retransmisiones alrededor de la infraestructura de retransmisión NAT (TURN).
Se cree que los atacantes obtuvieron acceso inicial explotando una vulnerabilidad en SQL o MS-SQL Server, pero se desconoce la naturaleza exacta de la falla. El acceso también puede haberse obtenido de un intermediario de acceso inicial (IAB).
La primera actividad maliciosa en la red de la víctima comenzó en diciembre de 2025, cuando el atacante ejecutó un comando de PowerShell que descargó un archivo ZIP bajo la apariencia de una revisión de soporte técnico. Archivo ZIP que lanza un ataque de descarga de DLL. Luego, la DLL maliciosa se ejecuta para realizar reconocimiento, configurar la persistencia y silenciar el software de seguridad utilizando un controlador de Huawei (‘HWAuidoOs2Ec.sys’).
Esto se logra mediante una técnica de ataque conocida como técnica Bring Your Own Vulnerable Driver (BYOVD). Este controlador se utilizó en una campaña de publicidad maliciosa a gran escala dirigida a personas en los Estados Unidos que buscaban documentos relacionados con impuestos, que supuestamente ocurrió después de un incidente de ransomware.
Algunos de los otros controladores utilizados para este propósito se enumeran a continuación.
Lo notable de este ataque es que después de implementar el ransomware DragonForce, inyecta y ejecuta Backdoor.Conviértelo en el proceso legítimo «DbgView64.exe». Esto sugiere un intento de mantener el acceso continuo al host comprometido para ataques posteriores o reventa con fines de lucro.
El mecanismo basado en TURN subyacente a Backdoor.Turn se basa en una técnica de comunicaciones C2 sigilosa conocida como Ghost Calls, que fue documentada por Praetorian en agosto de 2024. Las puertas traseras admiten una amplia gama de funciones, incluida la ejecución de comandos, la creación de procesos, el escaneo de redes, las búsquedas de LDAP y Active Directory, el movimiento lateral basado en credenciales y el robo de credenciales del navegador.
«La puerta trasera solicita un token de visitante del backend de Microsoft Teams/Skype y utiliza ese token para interactuar con la infraestructura relacionada con Teams (retransmisión TURN) para establecer una conexión saliente», explicaron Symantec y Carbon Black.
«El malware obtiene un token de autenticación de visitante (anónimo) de Teams respaldado por el servicio de ID de Skype. Luego utiliza un servidor legítimo de Microsoft como servidor de retransmisión TURN durante la configuración de la conexión. Después de la configuración asistida por retransmisión, el malware establece una sesión QUIC directa al servidor C&C, lo cual es malicioso».
Los hallazgos resaltan cómo los grupos de piratas informáticos se basan en técnicas cibernéticas sofisticadas para llevar a cabo ataques dirigidos de alto impacto y, al mismo tiempo, dejan a las víctimas en la ignorancia sobre la filtración encubierta de datos. Esto es especialmente importante ya que Hackledorb, el actor de amenazas detrás de DragonForce, ha pasado de un modelo tradicional de ransomware como servicio (RaaS) a una estructura de cartel formal altamente organizada.
«El cronograma operativo revela un patrón de desarrollo continuo de capacidades, con la introducción de tecnologías avanzadas convirtiéndose en una característica de las actividades a partir de 2025», dijo la compañía. «La implementación de Backdoor.Turn, combinada con la evasión BYOVD multivectorial, los convierte en uno de los grupos de ransomware más capaces y persistentes que operan en la actualidad».
Source link
