El grupo de ransomware DragonForce ha sido identificado utilizando una nueva herramienta llamada Backdoor.Turn, un troyano de acceso remoto (RAT) basado en Go. Este sofisticado malware se vale de la infraestructura de retransmisión TURN (Traversal Using Relays around NAT) de Microsoft Teams para ocultar su tráfico de comando y control (C2), dificultando enormemente su detección. Un ataque reciente afectó a una importante empresa de servicios en Estados Unidos, donde los ciberdelincuentes lograron permanecer en la red comprometida por uno o dos meses.
Backdoor.Turn opera obteniendo un token de visitante anónimo de los servicios de identidad de Skype/Microsoft Teams. Luego, utiliza un retransmisor TURN legítimo de Microsoft para establecer una conexión de red. Una vez configurado el retransmisor, el malware establece una sesión QUIC directa con el servidor C2 real del atacante. Para los defensores de la red, el único tráfico visible son conexiones salientes a servidores legítimos de Microsoft Teams, lo que les permite pasar desapercibidos.
El acceso inicial a la red de la víctima se sospecha que ocurrió explotando una vulnerabilidad en un servidor SQL o MS-SQL, o a través de un intermediario de acceso inicial (IAB). La actividad maliciosa comenzó con la ejecución de un comando PowerShell que desplegó un archivo ZIP, disfrazado de “hotfix” de soporte técnico. Este archivo inició un ataque de carga lateral de DLL para reconocimiento, establecer persistencia y desactivar software de seguridad utilizando la técnica “Bring Your Own Vulnerable Driver” (BYOVD), empleando controladores como el de Huawei (“HWAuidoOs2Ec.sys”) o los asociados a CVE-2023-52271, CVE-2025-61155 y CVE-2025-1055. Backdoor.Turn se inyecta en procesos legítimos como “DbgView64.exe” después de desplegar el ransomware, buscando mantener el acceso continuo.
Backdoor.Turn demuestra una amplia gama de capacidades, incluyendo la ejecución de comandos, creación de procesos, escaneo de red, búsqueda en LDAP y Active Directory, movimiento lateral basado en credenciales y robo de credenciales de navegador. La técnica de comunicación C2 sigilosa, conocida como “Ghost Calls”, es fundamental para su operación. Este nivel de sofisticación muestra cómo los actores de amenazas están evolucionando, buscando métodos cada vez más complejos para evadir la detección y exfiltrar datos, lo que demanda una revisión profunda de las estrategias de ciberseguridad.
Qué significa para tu empresa: Este incidente subraya la necesidad crítica de capacidades de detección avanzadas que van más allá de la inspección perimetral tradicional. La ocultación de tráfico C2 en servicios legítimos como Microsoft Teams es una técnica cada vez más común que desafía la visibilidad. Para protegerse de ataques tan sigilosos y persistentes, es indispensable contar con un SOC con monitoreo 24/7 y soluciones de protección de endpoints EDR/XDR que puedan identificar comportamientos anómalos y tácticas evasivas, incluso cuando el tráfico de red parece benigno.
Fuente original: The Hacker News — ver artículo →