DragonForce usa servidores TURN do Microsoft Teams como canal de command-and-control com novo backdoor em Go

Pesquisadores da Symantec e do time Carbon Black Threat Hunter, da Broadcom, identificaram um novo backdoor escrito em Go — rastreado como Backdoor.Turn — que abusa dos servidores TURN da Microsoft, usados para retransmissão de mídia do Teams, como canal de command-and-control. O malware foi implantado por operadores do ransomware DragonForce em um ataque contra uma empresa de serviços nos Estados Unidos e, segundo os pesquisadores, é a primeira família de malware conhecida a sequestrar a infraestrutura TURN dessa forma. O tráfego de C&C aparece nos sensores de segurança como conexões legítimas para servidores da Microsoft.

O que aconteceu

O grupo DragonForce, ativo desde 2023, vem operando em uma estrutura tipo cartel e adotando técnicas avançadas que sugerem maturidade organizacional e alocação significativa de recursos. O ataque analisado pelos pesquisadores ocorreu em uma empresa norte-americana de serviços, com a entrada inicial datada de dezembro de 2025 — provavelmente via exploração de uma vulnerabilidade desconhecida em um servidor SQL/MSSQL ou compra de acesso a um broker.

Após o comprometimento inicial, os operadores recorreram a DLL sideloading para carregar código que buscava malware adicional em servidores remotos, estabeleceram persistência e conduziram reconhecimento na rede. A escalada chegou ao nível de kernel via BYOVD (bring-your-own-vulnerable-driver), técnica em que o atacante carrega um driver legitimamente assinado mas vulnerável para terminar processos de segurança e operar como SYSTEM.

O ransomware DragonForce foi então implantado para cifrar e exfiltrar dados, mas o detalhe inovador é o que veio depois: a instalação do Backdoor.Turn como mecanismo de persistência pós-ataque, mesmo após o ransom ser pago e a vítima acreditar ter recuperado o ambiente.

Como o ataque funciona

A inovação técnica do Backdoor.Turn está no canal de C&C. O malware, escrito em Go, obtém um token de visitante anônimo nas APIs de identidade Skype-backed da Microsoft, abre uma sessão usando um relay TURN legítimo da Microsoft e, sobre essa conexão, estabelece uma sessão QUIC com o servidor real do operador. Do ponto de vista da rede corporativa, o que se vê é uma estação Windows conversando com um servidor TURN da Microsoft — padrão indistinguível de uma chamada normal do Microsoft Teams.

“Os atacantes nesta campanha usam um tradecraft cibernético excepcionalmente sofisticado. A configuração do Backdoor.Turn faz com que produtos de segurança vejam apenas tráfego de C&C indo para servidores legítimos do Teams, deixando os defensores sem perceber que os dados estão sendo desviados”, relataram os pesquisadores da Symantec.

A escolha do QUIC sobre TURN é especialmente engenhosa: TURN (Traversal Using Relays around NAT) foi desenhado justamente para encaminhar mídia entre clientes atrás de NAT, e o Teams já abre essas conexões rotineiramente em qualquer ambiente que use a plataforma. QUIC, por sua vez, é tunelado dentro de UDP, dificulta a inspeção profunda de pacotes e, quando empacotado dentro do TURN, fica protegido por uma camada adicional. Não há domínio suspeito a bloquear; não há IP exótico a marcar; o tráfego visualmente cumpre tudo que se espera de Teams.

Capacidades do Backdoor.Turn

• Execução remota de comandos arbitrários no host comprometido.
• Criação de processos com privilégios herdados do contexto de instalação.
• Varredura de rede e enumeração via LDAP/Active Directory para mapear o ambiente.
• Movimentação lateral usando credenciais roubadas em estágios anteriores do ataque.
• Exfiltração de credenciais dos navegadores instalados — cookies, tokens e senhas salvas.
• Persistência após cifragem — sobrevive à restauração de backups se o backdoor já estiver implantado fora da janela protegida.

Quem é afetado

• Organizações com Microsoft Teams em produção — e isso significa a vasta maioria do mercado corporativo — cujo tráfego TURN é considerado “confiável” e raramente inspecionado.
• Vítimas anteriores de DragonForce ou outros operadores de ransomware que pagaram resgate sem fazer reimaging completo do parque — o backdoor pode persistir.
• Ambientes com SQL Server expostos, particularmente em borda, que continuam sendo vetor inicial preferido para grupos sofisticados.
• Times de SOC que dependem de listas de domínios/IPs para detecção de C&C — toda a comunicação se acomoda sobre infraestrutura legítima Microsoft.

Análise

O Backdoor.Turn marca um ponto de inflexão no uso de “living off trusted services” pelos grupos de ransomware. Já vimos C&C via Telegram, Discord, GitHub Pages e até Notion — mas o TURN é qualitativamente diferente. TURN é parte essencial da pilha de telecomunicação corporativa; bloqueá-lo no perímetro quebra o Microsoft Teams. Não é um canal opcional que o time de segurança pode banir; é infraestrutura crítica de negócio. Os atacantes encontraram um ponto cego estrutural.

É também incomum ver um grupo de ransomware investir em desenvolvimento de ferramenta proprietária com esse grau de polimento — a maioria depende de Cobalt Strike, Sliver e off-the-shelf. A Symantec/Carbon Black destaca isso como sinalizador de que o DragonForce tem músculo financeiro e técnico para sustentar um ciclo de R&D ofensivo, possivelmente alimentado pelos próprios lucros do programa de afiliados.

Para defensores, o caso reforça duas lições. Primeiro, a detecção baseada em destino (allowlist de IPs/domínios) chegou ao seu limite contra atacantes que abusam de serviços confiáveis em massa — é preciso evoluir para análise de comportamento, contagem de sessões, perfis de tráfego e desvios estatísticos. Segundo, o paradigma “pagamos o ransom, restauramos backups, está resolvido” continua perigosamente otimista: backdoors plantados para sobreviver à remediação são parte do playbook moderno.

Recomendações práticas

• Reveja a baseline de tráfego Teams/TURN em ferramentas de NDR e firewalls de nova geração: o que é normal em volume, duração e padrão? Anomalias persistentes em sessões TURN merecem investigação direta.
• Monitore o uso de tokens de visitante anônimo em logs Skype/Teams — se sua organização não autoriza guest access, qualquer obtenção de token desse tipo é vermelho.
• Implemente detecção de BYOVD via listas de drivers vulneráveis conhecidos (LOLDrivers, Microsoft Vulnerable Driver Blocklist) e habilite o Microsoft Vulnerable Driver Blocklist do Windows 11 24H2 / Server 2025.
• Endureça servidores SQL/MSSQL expostos: princípio de mínimo privilégio para conta de serviço, desabilitar xp_cmdshell, autenticação Kerberos, e patch consistente do CU mais recente.
• Após qualquer incidente de ransomware, faça reimaging completo dos hosts impactados em vez de apenas restaurar arquivos — um backdoor de persistência pós-ransom é a regra, não a exceção, em 2026.
• Habilite EDR com detecção de DLL sideloading e crie regras de hunting para processos legítimos carregando DLLs de paths inesperados.

Fonte: SecurityWeek