Bedreigingsactoren geassocieerd met de DragonForce-ransomware zijn waargenomen met behulp van een aangepaste Go-gebaseerde trojan voor externe toegang (RAT), genaamd Achterdeur. Draai om command-and-control (C2)-verkeer binnen de relay-infrastructuur van Microsoft Teams te verbergen.
Volgens bevindingen van Symantec en Carbon Black, eigendom van Broadcom, werd de achterdeur ingezet tegen een groot Amerikaans dienstenbedrijf. De naam van het bedrijf werd niet bekendgemaakt.
“Backdoor.Turn verkrijgt een anoniem Teams-bezoekerstoken van de door Skype ondersteunde identiteitsdiensten van Microsoft, gebruikt een legitieme Microsoft TURN-relay om de verbinding tot stand te brengen en voert vervolgens een QUIC-sessie uit naar de echte command-and-control (C2)-server van de aanvaller”, aldus het Threat Hunter-team in een rapport gedeeld met The Hacker News.
“Voor netwerkverdedigers was het enige verkeer dat ze konden zien uitgaande verbindingen met legitieme Microsoft Teams-servers. De aanvallers bevonden zich tussen een en twee maanden op het slachtoffernetwerk.”
De ontwikkeling markeert het eerste publiekelijk gedocumenteerde voorbeeld van de bedreigingsactoren die misbruik maken van Microsoft’s Traversal Using Relays rond de NAT (TURN)-relay-infrastructuur.
Er wordt vermoed dat de bedreigingsacteur aanvankelijke toegang heeft verkregen door misbruik te maken van een kwetsbaarheid in een SQL- of MS-SQL-server, hoewel de exacte aard van de fout onbekend is. Het is ook mogelijk dat de toegang is verkregen van een Initial Access Broker (IAB).
De eerste kwaadaardige activiteiten op het slachtoffernetwerk begonnen in december 2025, waarbij de aanvallers een PowerShell-opdracht uitvoerden om een ZIP-archief te verwijderen onder het voorwendsel van een hotfix voor technische ondersteuning. Het ZIP-bestand dat verantwoordelijk is voor het starten van een DLL-sideloading-aanval, die vervolgens een frauduleuze DLL uitvoert om verkenningen uit te voeren, persistentie in te stellen en beveiligingssoftware stil te leggen met behulp van een Huawei-stuurprogramma (“HWAuidoOs2Ec.sys”).
Dit wordt bereikt door middel van een aanvalstechniek genaamd ‘bring your own vulnerability driver’ (BYOVD). De driver is gebruikt in een grootschalige malvertisingcampagne gericht op Amerikaanse individuen die op zoek zijn naar belastinggerelateerde documenten, hoewel dit zou hebben plaatsgevonden na het ransomware-incident.
Enkele van de andere stuurprogramma’s die voor dit doel worden gebruikt, worden hieronder vermeld:
Wat opvalt aan de aanval is de uitvoering van Backdoor.Turn door het in het legitieme proces “DbgView64.exe” te injecteren nadat de DragonForce-ransomware is ingezet. Dit suggereert een poging om voortdurende toegang tot de gecompromitteerde host te behouden voor latere aanvallen of om deze met winst door te verkopen.
Het onderliggende op TURN gebaseerde mechanisme van Backdoor.Turn steunt op een sluipende C2-communicatietechniek genaamd Ghost Calls die in augustus 2024 door Praetorian werd gedocumenteerd. De backdoor ondersteunt een breed scala aan mogelijkheden, waaronder het uitvoeren van opdrachten, het maken van processen, netwerkscannen, zoeken in LDAP en Active Directory, op inloggegevens gebaseerde laterale verplaatsing en diefstal van browserinloggegevens.
“De achterdeur vraagt om een bezoekerstoken van de Microsoft Teams/Skype-backend, gebruikt dat token om te communiceren met de aan Teams gekoppelde infrastructuur (TURN-relay) en brengt vervolgens uitgaande connectiviteit tot stand”, leggen Symantec en Carbon Black uit.
“Het verkrijgt een (anoniem) authenticatietoken van Teams-bezoekers, ondersteund door Skype-identiteitsdiensten. Het gebruikt vervolgens een legitieme Microsoft-server als de TURN-relayserver tijdens het instellen van de verbinding. Na de relay-ondersteunde installatie brengt de malware een directe QUIC-sessie tot stand met de C&C-server, wat kwaadaardig is.”
De bevindingen schetsen een beeld van een hackgroep die leunt op geavanceerde cybertechnieken om gerichte aanvallen met grote impact uit te voeren, terwijl de slachtoffers in het ongewisse blijven over geheime gegevensexfiltratie. Dit is vooral belangrijk omdat Hackledorb, de bedreigingsacteur achter DragonForce, is overgestapt van een conventioneel ransomware-as-a-service (RaaS)-model naar een goed georganiseerde, geformaliseerde kartelstructuur.
“De operationele tijdlijn onthult een patroon van voortdurende capaciteitsontwikkeling, waarbij de adoptie van zeer geavanceerde technieken een kenmerk wordt van hun activiteiten na 2025”, aldus het bedrijf. “De inzet van Backdoor.Turn, gecombineerd met hun multi-vector BYOVD-ontduiking, markeert hen als een van de meest capabele en volhardende ransomware-groepen die momenteel actief zijn.”
