DragonForce usa relays do Microsoft Teams para esconder tráfego C2 — primeiro abuso de TURN relay registrado em produção

<p>Pesquisadores da Symantec (Broadcom) revelaram, em 16 de junho de 2026, que o grupo DragonForce (<em>aka</em> Hackledorb) implantou um backdoor inédito — o <strong>Backdoor.Turn</strong> — em um grande provedor de serviços norte-americano. O malware ficou ativo por <strong>um a dois meses</strong> sem ser detectado, por uma razão simples: todo o tráfego de comando e controle passava pelos servidores legítimos de relay do Microsoft Teams.</p><h2>Como funciona o Backdoor.Turn</h2><p>O Backdoor.Turn, escrito em Go, opera em três etapas:</p><ol><li>Obtém um token anônimo de visitante do Teams nos serviços de identidade Skype da Microsoft.</li><li>Usa um servidor Microsoft TURN relay legítimo para configurar a conexão.</li><li>Estabelece uma sessão QUIC diretamente ao servidor C2 real do atacante — invisível para ferramentas de segurança de rede.</li></ol><p>Para ferramentas de monitoramento, o único tráfego visível eram conexões de saída para servidores do Teams. A Symantec destaca que <strong>esta é a primeira exploração conhecida de infraestrutura TURN relay em ambiente produtivo</strong>.</p><h2>Evasão via BYOVD</h2><p>Os atacantes também empregaram a técnica BYOVD (<em>Bring Your Own Vulnerable Driver</em>), incluindo uma exploração inédita do driver <strong>HWAuidoOs2Ec.sys da Huawei</strong> — nunca antes documentada. Outros drivers explorados incluem wsftprm.sys (CVE-2023-52271), Gamedriverx64.sys (CVE-2025-61155) e K7RKScan.sys (CVE-2025-1055).</p><h2>Timeline e vetor de acesso</h2><p>O acesso inicial remonta a <strong>dezembro de 2025</strong>, via exploração de SQL/MSSQL. O grupo evoluiu de um modelo RaaS convencional para uma estrutura de cartel organizado, ampliando seu portfólio técnico com ferramentas como Abyssworker e técnicas avançadas de persistência.</p><h2>Mitigações</h2><ul><li>Monitorar padrões anômalos em conexões de saída para infraestrutura Teams</li><li>Auditar drivers assinados em endpoints</li><li>Restringir identidades Skype/Teams sem uso legítimo</li><li>Aplicar patches em sistemas SQL/MSSQL</li></ul>