Se ha observado que los actores de amenazas asociados con el ransomware DragonForce utilizan un troyano de acceso remoto (RAT) personalizado basado en Go llamado Puerta trasera.Girar para ocultar el tráfico de comando y control (C2) dentro de la infraestructura de retransmisión de Microsoft Teams.

Según las conclusiones de Symantec, propiedad de Broadcom, y Carbon Black, la puerta trasera se utilizó contra una importante empresa de servicios estadounidense. El nombre de la empresa no fue revelado.

«Backdoor.Turn obtiene un token de visitante anónimo de Teams de los servicios de identidad respaldados por Skype de Microsoft, utiliza un relé TURN legítimo de Microsoft para configurar la conexión y luego ejecuta una sesión QUIC en el servidor de comando y control (C2) real del atacante», explicó Threat Hunter Team. dicho en un informe compartido con The Hacker News.

«Para los defensores de la red, el único tráfico que podían ver eran las conexiones salientes a servidores legítimos de Microsoft Teams. Los atacantes estuvieron en la red de la víctima entre uno y dos meses».

El desarrollo marca el primer caso documentado públicamente de actores de amenazas que abusan del Traversal Usando Relays alrededor de NAT (DOBLAR) infraestructura de retransmisión.

Se sospecha que el actor de amenazas obtuvo acceso inicial explotando una vulnerabilidad en un servidor SQL o MS-SQL, aunque se desconoce la naturaleza exacta de la falla. También es posible que el acceso se haya adquirido a través de un intermediario de acceso inicial (IAB).

La actividad maliciosa inicial en la red de la víctima comenzó en diciembre de 2025, cuando los atacantes ejecutaron un comando de PowerShell para colocar un archivo ZIP con el pretexto de una revisión de soporte técnico. El archivo ZIP responsable de lanzar un ataque de carga lateral de DLL, que luego ejecuta una DLL no autorizada para realizar reconocimiento, configurar la persistencia y silenciar el software de seguridad mediante un controlador de Huawei («HWAuidoOs2Ec.sys»).

Esto se logra mediante una técnica de ataque llamada técnica de traer su propio controlador vulnerable (BYOVD). El controlador se ha utilizado en una campaña de publicidad maliciosa a gran escala dirigida a personas residentes en EE. UU. que buscan documentos relacionados con impuestos, aunque se dice que esto tuvo lugar después del incidente del ransomware.

Algunos de los otros controladores utilizados para este propósito se enumeran a continuación:

Lo notable del ataque es la ejecución de Backdoor.Turn inyectándolo en el proceso legítimo «DbgView64.exe» después de que se haya implementado el ransomware DragonForce. Esto sugiere un intento de mantener el acceso continuo al host comprometido para ataques posteriores o revenderlo con fines de lucro.

El mecanismo subyacente basado en TURN de Backdoor.Turn se basa en una técnica de comunicación C2 sigilosa llamada Ghost Calls que fue documentada por Praetorian en agosto de 2024. La puerta trasera admite una amplia gama de capacidades, incluida la ejecución de comandos, la creación de procesos, el escaneo de redes, la búsqueda de LDAP y Active Directory, el movimiento lateral basado en credenciales y el robo de credenciales del navegador.

«La puerta trasera solicita un token de visitante del backend de Microsoft Teams/Skype, usa ese token para interactuar con la infraestructura asociada a Teams (retransmisión TURN) y luego establece la conectividad saliente», explicaron Symantec y Carbon Black.

«Obtiene un token de autenticación de visitante (anónimo) de Teams respaldado por los servicios de identidad de Skype. Luego utiliza un servidor legítimo de Microsoft como servidor de retransmisión TURN durante la configuración de la conexión. Después de la configuración asistida por retransmisión, el malware establece una sesión QUIC directa al servidor C&C, lo cual es malicioso».

Los hallazgos pintan una imagen de un grupo de hackers que se apoya en sofisticados métodos cibernéticos para llevar a cabo ataques dirigidos de alto impacto, mientras deja a las víctimas en la ignorancia sobre la filtración encubierta de datos. Esto es particularmente significativo ya que Hackledorb, el actor de amenazas detrás de DragonForce, ha pasado de un modelo convencional de ransomware como servicio (RaaS) a una estructura de cartel formalizada y altamente organizada.

«El cronograma operativo revela un patrón de desarrollo continuo de capacidades, con la adopción de técnicas altamente avanzadas convirtiéndose en un sello distintivo de su actividad posterior a 2025», dijo la compañía. «La implementación de Backdoor.Turn, combinada con su evasión BYOVD multivectorial, los marca como uno de los grupos de ransomware más capaces y persistentes que operan en la actualidad».