Phần mềm tống tiền DragonForce đã sử dụng phần mềm độc hại tùy chỉnh có tên ‘Backdoor.Turn’ để ẩn lưu lượng lệnh và kiểm soát bên trong cơ sở hạ tầng chuyển tiếp của Microsoft Teams.
Cửa sau lợi dụng giao thức Truyền tải bằng cách sử dụng Rơle xung quanh NAT (TURN) được Microsoft Teams sử dụng để phân phối tin nhắn khi không có kết nối trực tiếp đến máy khách (ví dụ: máy khách trên mạng riêng).
DragonForce là một hoạt động ransomware hoạt động ít nhất từ năm 2023, áp dụng cơ cấu tổ chức kiểu cartel và có liên quan đến nhóm đe dọa Scattered Spider khét tiếng.
Theo các nhà nghiên cứu tại công ty an ninh mạng Symantec, tin tặc đã sử dụng phần mềm độc hại dựa trên Go tùy chỉnh để tấn công một công ty dịch vụ lớn của Mỹ.
Backdoor.Turn lạm dụng cơ sở hạ tầng TURN của Teams bằng cách lấy mã thông báo khách truy cập Teams ẩn danh, sử dụng chuyển tiếp Microsoft TURN hợp pháp trong quá trình thiết lập kết nối, sau đó kết nối với máy chủ chỉ huy và kiểm soát (C2) của kẻ tấn công.
Do đó, những người bảo vệ sẽ thấy lưu lượng truy cập được liên kết với cơ sở hạ tầng của Microsoft Teams, cho phép phần mềm độc hại ẩn thông tin liên lạc của nó trong một mạng đáng tin cậy.
Năm ngoái, Praetorian đã phát triển một kỹ thuật mới có tên là ‘Cuộc gọi ma’, Điều này cho thấy thông tin xác thực TURN tạm thời cho Nhóm và Zoom có thể bị tấn công để tạo đường hầm liên lạc lén lút thông qua cơ sở hạ tầng hội nghị đáng tin cậy.
Trong khi Ghost Calls trình diễn khái niệm này vào năm 2025 thì Backdoor.Turn là phần mềm độc hại thực tế đầu tiên được biết đến lạm dụng chuyển tiếp TURN của Microsoft Teams để liên lạc bằng lệnh và kiểm soát.
“Backdoor.Turn, một RAT dựa trên Go, là phần mềm độc hại đầu tiên được biết đến lạm dụng các máy chủ chuyển tiếp TURN của Microsoft Teams để che giấu lưu lượng truy cập lệnh và kiểm soát,” Symantec nói.
Các nhà nghiên cứu cũng nhấn mạnh việc khai thác trình điều khiển HWAuidoOs2Ec.sys của Huawei (“Havoc Process Terminator”), được sử dụng để trốn tránh trong chiến thuật Mang theo trình điều khiển dễ bị tổn thương của riêng bạn (BYOVD).
Cuộc tấn công của DragonForce
Symantec lưu ý rằng cuộc tấn công, được quan sát vào tháng 12 năm 2025, bắt đầu bằng việc khai thác một lỗ hổng không xác định trong máy chủ SQL hoặc MSSQL.
Sau khi kẻ tấn công đã tạo dựng được chỗ đứng, chúng đã tải xuống kho lưu trữ ZIP chứa tệp thực thi VirtualBox/DbgView hợp pháp và tệp DLL độc hại được sử dụng để tải qua.
Ở giai đoạn này, kẻ tấn công đã củng cố tính kiên trì của mình, tạo ra những người dùng lừa đảo, lạm dụng chính sách bảo mật LimitBlankPassword trong Windows để dễ dàng truy cập và sửa đổi các quy tắc tường lửa.
Tiếp theo, họ sử dụng kỹ thuật BYOVD với nhiều trình điều khiển như HWAuidoOs2Ec.sys của Huawei, Topaz Antifraud wsftprm.sys (CVE-2023-52271), Tower of Fantasy GameDriverx64.sys (CVE-2025-61155) và K7 Security K7RKScan.sys (CVE-2025-1055), để có được các đặc quyền cấp hạt nhân và chấm dứt bảo mật công cụ trên máy chủ.
Tin tặc cũng sử dụng ABYSSWORKER, một trình điều khiển độc hại tùy chỉnh giả dạng trình điều khiển Palo Alto hợp pháp.
Trojan truy cập từ xa (RAT) Backdoor.Turn đã được đưa vào ‘DbgView64.exe’ sau khi triển khai ransomware, cho thấy rằng nó có thể nhằm mục đích duy trì hoặc truy cập trong tương lai.
Phần mềm độc hại lấy được mã thông báo khách truy cập Teams ẩn danh bằng cách sử dụng máy chủ chuyển tiếp Microsoft TURN hợp pháp trong quá trình thiết lập kết nối và thiết lập liên lạc với C2.
Các khả năng của nó bao gồm thực thi lệnh, tạo quy trình, quét mạng, thu thập chứng chỉ TLS, tìm kiếm LDAP/Active Directory, thu thập tiêu đề trang web và đánh cắp thông tin xác thực trình duyệt.
Sau khi hoàn tất việc trinh sát và trốn tránh phòng thủ, kẻ tấn công đã lấy hết dữ liệu, triển khai ransomware DragonForce và mã hóa hệ thống của nạn nhân.
Các nhà nghiên cứu nói rằng những kẻ đứng sau “chiến dịch này sử dụng các thủ thuật mạng đặc biệt tinh vi.”
Symantec đã công bố danh sách đầy đủ các chỉ báo về sự xâm phạm (IoC) để giúp các nhà bảo vệ phát hiện và ngăn chặn các cuộc tấn công như vậy.
Các nhóm bảo mật ghi lại 54% các cuộc tấn công thành công và cảnh báo chỉ 14%. Phần còn lại di chuyển qua môi trường của bạn mà không thể nhìn thấy.
Báo cáo nghiên cứu chuyên sâu của Picus cho thấy cách mô phỏng vi phạm và tấn công kiểm tra các quy tắc SIEM và EDR của bạn để các mối đe dọa không còn bị phát hiện.