Een recent ontdekte backdoor die is ingezet bij een DragonForce ransomware-aanval maakt gebruik van Microsoft Teams relay servers voor command-and-control (C&C) communicatie, meldt het threat hunter team van Broadcom’s Symantec en Carbon Black. De DragonForce-groep is sinds 2023 actief en opereert als een kartel met geavanceerde technieken, wat wijst op een hoge mate van organisatie en aanzienlijke middelen.

De malware, getraceerd als Backdoor.Turn, is geschreven in Go en camoufleert de communicatie met het C&C-server als legitiem Microsoft Teams-verkeer. Volgens de onderzoekers verkrijgt Backdoor.Turn een anonieme Teams visitor token via Microsoft’s Skype-ondersteunde identiteitssystemen, gebruikt een officiële Microsoft TURN relay om de verbinding op te zetten en voert vervolgens een QUIC-sessie uit naar de daadwerkelijke C&C-server van de aanvaller. Dit is voor zover bekend de eerste malwarefamilie die de TURN relay infrastructuur op deze wijze misbruikt.

De custom backdoor werd ingezet bij een aanval op een Amerikaanse dienstverlener, vermoedelijk gecompromitteerd via een onbekende kwetsbaarheid in een SQL- of MSSQL-server. Mogelijk kochten de DragonForce-operators toegang tot het netwerk via een access broker. De hackers drongen het netwerk binnen in december 2025 en gebruikten DLL sideloading om code uit te voeren die extra malware van externe servers ophaalde. Ze vestigden persistentie, verkregen toegang tot het gecompromitteerde systeem, voerden verkenning uit en pasten een geavanceerde BYOVD-strategie toe om kwetsbaarheden in gesigneerde drivers te misbruiken. Hierdoor kregen ze kernel-level toegang en konden ze beveiligingsprocessen beëindigen.

Naast het inzetten van de DragonForce ransomware voor data-encryptie en exfiltratie, gebruikten de aanvallers Backdoor.Turn om persistentie te behouden. De backdoor stelt de aanvallers in staat om commando’s uit te voeren, processen te creëren, netwerkscans en LDAP/AD-mapping uit te voeren, lateraal te bewegen met gestolen credentials en inloggegevens uit browsers op de geïnfecteerde systemen te exfiltreren. De configuratie van Backdoor.Turn zorgt ervoor dat beveiligingsproducten alleen C&C-verkeer naar legitieme Teams-servers zien, waardoor verdedigers niet doorhebben dat data wordt weggeleid door kwaadwillenden.