{"id":1230,"date":"2026-06-18T14:44:30","date_gmt":"2026-06-18T14:44:30","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/18\/los-piratas-informaticos-de-dragonforce-abusan-de-los-reles-de-microsoft-teams-para-ocultar-la-puerta-trasera-gire-el-trafico-c2\/"},"modified":"2026-06-18T14:44:30","modified_gmt":"2026-06-18T14:44:30","slug":"los-piratas-informaticos-de-dragonforce-abusan-de-los-reles-de-microsoft-teams-para-ocultar-la-puerta-trasera-gire-el-trafico-c2","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/18\/los-piratas-informaticos-de-dragonforce-abusan-de-los-reles-de-microsoft-teams-para-ocultar-la-puerta-trasera-gire-el-trafico-c2\/","title":{"rendered":"Los piratas inform\u00e1ticos de DragonForce abusan de los rel\u00e9s de Microsoft Teams para ocultar la puerta trasera. Gire el tr\u00e1fico C2"},"content":{"rendered":"
\n

Se ha observado que los actores de amenazas asociados con el ransomware DragonForce utilizan un troyano de acceso remoto (RAT) personalizado basado en Go llamado Puerta trasera.Girar<\/b> para ocultar el tr\u00e1fico de comando y control (C2) dentro de la infraestructura de retransmisi\u00f3n de Microsoft Teams.<\/p>\n

Seg\u00fan las conclusiones de Symantec, propiedad de Broadcom, y Carbon Black, la puerta trasera se utiliz\u00f3 contra una importante empresa de servicios estadounidense. El nombre de la empresa no fue revelado.<\/p>\n

\u00abBackdoor.Turn obtiene un token de visitante an\u00f3nimo de Teams de los servicios de identidad respaldados por Skype de Microsoft, utiliza un rel\u00e9 TURN leg\u00edtimo de Microsoft para configurar la conexi\u00f3n y luego ejecuta una sesi\u00f3n QUIC en el servidor de comando y control (C2) real del atacante\u00bb, explic\u00f3 Threat Hunter Team. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

\u00abPara los defensores de la red, el \u00fanico tr\u00e1fico que pod\u00edan ver eran las conexiones salientes a servidores leg\u00edtimos de Microsoft Teams. Los atacantes estuvieron en la red de la v\u00edctima entre uno y dos meses\u00bb.<\/p>\n

El desarrollo marca el primer caso documentado p\u00fablicamente de actores de amenazas que abusan del Traversal Usando Relays alrededor de NAT (DOBLAR<\/a>) infraestructura de retransmisi\u00f3n.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Se sospecha que el actor de amenazas obtuvo acceso inicial explotando una vulnerabilidad en un servidor SQL o MS-SQL, aunque se desconoce la naturaleza exacta de la falla. Tambi\u00e9n es posible que el acceso se haya adquirido a trav\u00e9s de un intermediario de acceso inicial (IAB).<\/p>\n

La actividad maliciosa inicial en la red de la v\u00edctima comenz\u00f3 en diciembre de 2025, cuando los atacantes ejecutaron un comando de PowerShell para colocar un archivo ZIP con el pretexto de una revisi\u00f3n de soporte t\u00e9cnico. El archivo ZIP responsable de lanzar un ataque de carga lateral de DLL, que luego ejecuta una DLL no autorizada para realizar reconocimiento, configurar la persistencia y silenciar el software de seguridad mediante un controlador de Huawei (\u00abHWAuidoOs2Ec.sys\u00bb).<\/p>\n

Esto se logra mediante una t\u00e9cnica de ataque llamada t\u00e9cnica de traer su propio controlador vulnerable (BYOVD). El controlador se ha utilizado en una campa\u00f1a de publicidad maliciosa a gran escala dirigida a personas residentes en EE. UU. que buscan documentos relacionados con impuestos, aunque se dice que esto tuvo lugar despu\u00e9s del incidente del ransomware.<\/p>\n

Algunos de los otros controladores utilizados para este prop\u00f3sito se enumeran a continuaci\u00f3n:<\/p>\n

Lo notable del ataque es la ejecuci\u00f3n de Backdoor.Turn inyect\u00e1ndolo en el proceso leg\u00edtimo \u00abDbgView64.exe\u00bb despu\u00e9s de que se haya implementado el ransomware DragonForce. Esto sugiere un intento de mantener el acceso continuo al host comprometido para ataques posteriores o revenderlo con fines de lucro.<\/p>\n

El mecanismo subyacente basado en TURN de Backdoor.Turn se basa en una t\u00e9cnica de comunicaci\u00f3n C2 sigilosa llamada Ghost Calls que fue documentada por Praetorian en agosto de 2024. La puerta trasera admite una amplia gama de capacidades, incluida la ejecuci\u00f3n de comandos, la creaci\u00f3n de procesos, el escaneo de redes, la b\u00fasqueda de LDAP y Active Directory, el movimiento lateral basado en credenciales y el robo de credenciales del navegador.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abLa puerta trasera solicita un token de visitante del backend de Microsoft Teams\/Skype, usa ese token para interactuar con la infraestructura asociada a Teams (retransmisi\u00f3n TURN) y luego establece la conectividad saliente\u00bb, explicaron Symantec y Carbon Black.<\/p>\n

\u00abObtiene un token de autenticaci\u00f3n de visitante (an\u00f3nimo) de Teams respaldado por los servicios de identidad de Skype. Luego utiliza un servidor leg\u00edtimo de Microsoft como servidor de retransmisi\u00f3n TURN durante la configuraci\u00f3n de la conexi\u00f3n. Despu\u00e9s de la configuraci\u00f3n asistida por retransmisi\u00f3n, el malware establece una sesi\u00f3n QUIC directa al servidor C&C, lo cual es malicioso\u00bb.<\/p>\n

Los hallazgos pintan una imagen de un grupo de hackers que se apoya en sofisticados m\u00e9todos cibern\u00e9ticos para llevar a cabo ataques dirigidos de alto impacto, mientras deja a las v\u00edctimas en la ignorancia sobre la filtraci\u00f3n encubierta de datos. Esto es particularmente significativo ya que Hackledorb, el actor de amenazas detr\u00e1s de DragonForce, ha pasado de un modelo convencional de ransomware como servicio (RaaS) a una estructura de cartel formalizada y altamente organizada.<\/p>\n

\u00abEl cronograma operativo revela un patr\u00f3n de desarrollo continuo de capacidades, con la adopci\u00f3n de t\u00e9cnicas altamente avanzadas convirti\u00e9ndose en un sello distintivo de su actividad posterior a 2025\u00bb, dijo la compa\u00f1\u00eda. \u00abLa implementaci\u00f3n de Backdoor.Turn, combinada con su evasi\u00f3n BYOVD multivectorial, los marca como uno de los grupos de ransomware m\u00e1s capaces y persistentes que operan en la actualidad\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Se ha observado que los actores de amenazas asociados con el ransomware DragonForce utilizan un troyano de acceso remoto (RAT) personalizado basado en Go llamado Puerta trasera.Girar para ocultar el tr\u00e1fico de comando y control (C2) dentro de la infraestructura de retransmisi\u00f3n de Microsoft Teams. Seg\u00fan las conclusiones de Symantec, propiedad de Broadcom, y Carbon […]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1193,3179,3182,540,52,50,3181,36,539,32,3180,2062,1890,33],"class_list":["post-1230","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-abusan","tag-dragonforce","tag-gire","tag-informaticos","tag-los","tag-microsoft","tag-ocultar","tag-para","tag-piratas","tag-puerta","tag-reles","tag-teams","tag-trafico","tag-trasera"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1230","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1230"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1230\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1230"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1230"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1230"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}