Onderzoekers van Symantec en Carbon Black, onderdeel van Broadcom, hebben vastgesteld dat de DragonForce ransomwaregroep een op Go gebaseerde remote access trojan (RAT) genaamd Backdoor.Turn inzet om command-and-control (C2) communicatie te verbergen binnen de relay-infrastructuur van Microsoft Teams. Deze backdoor werd ingezet tegen een grote Amerikaanse dienstverlener, waarvan de naam niet is vrijgegeven.

Backdoor.Turn verkrijgt een anonieme Teams visitor token via Microsoft’s Skype-ondersteunde identiteitsdiensten en gebruikt een legitieme Microsoft TURN relay om de verbinding op te zetten. Vervolgens start het een QUIC-sessie naar de daadwerkelijke C2-server van de aanvaller. Voor netwerkbeheerders lijkt het verkeer enkel uitgaande verbindingen naar legitieme Microsoft Teams-servers te zijn. De aanvallers verbleven tussen één en twee maanden onopgemerkt binnen het netwerk.

Dit is de eerste publieke melding van het misbruik van Microsofts Traversal Using Relays around NAT (TURN) relay-infrastructuur door deze dreigingsactor. Vermoedelijk verkregen de aanvallers initiële toegang via een kwetsbaarheid in een SQL- of MS-SQL-server, hoewel de precieze kwetsbaarheid onbekend is. Ook is toegang via een initial access broker (IAB) mogelijk.

De eerste kwaadaardige activiteit begon in december 2025, waarbij een PowerShell-commando werd uitgevoerd om een ZIP-archief te plaatsen dat zich voordeed als een technische hotfix. Dit archief startte een DLL side-loading aanval, die een kwaadaardige DLL uitvoerde voor reconnaissance, het opzetten van persistentie en het uitschakelen van beveiligingssoftware met behulp van een Huawei-driver ("HWAuidoOs2Ec.sys") via de bring your own vulnerable driver (BYOVD) techniek. Deze driver werd later ook gebruikt in een grootschalige malvertising campagne gericht op Amerikaanse gebruikers die op zoek waren naar belastingdocumenten.

Andere gebruikte kwetsbare drivers zijn onder meer wsftprm.sys (CVE-2023-52271), GameDriverX64.sys (CVE-2025-61155), K7RKScan.sys (CVE-2025-1055) en ABYSSWORKER, een kwaadaardige driver die eerder werd gezien bij Medusa ransomware-aanvallen.

Opvallend is dat Backdoor.Turn wordt uitgevoerd door injectie in het legitieme proces "DbgView64.exe" nadat de DragonForce ransomware is uitgerold. Dit wijst op een poging om langdurige toegang tot het gecompromitteerde systeem te behouden, mogelijk voor latere aanvallen of doorverkoop. De onderliggende TURN-gebaseerde communicatietechniek steunt op een stealthy C2-methode genaamd Ghost Calls, die in augustus 2024 door Praetorian werd beschreven.

De backdoor ondersteunt diverse functies, waaronder het uitvoeren van commando’s, aanmaken van processen, netwerk scanning, LDAP- en Active Directory-zoekopdrachten, laterale beweging op basis van credentials en het stelen van browser credentials. Symantec en Carbon Black leggen uit dat de backdoor een visitor token aanvraagt bij de Microsoft Teams/Skype backend, dit token gebruikt om te communiceren met de Teams-infrastructuur via de TURN relay en daarna een directe QUIC-sessie opzet naar de kwaadaardige C2-server.

Deze bevindingen illustreren hoe de DragonForce-groep geavanceerde cybertechnieken inzet om gerichte aanvallen uit te voeren en slachtoffers onwetend te houden over de heimelijke datadiefstal.