L’opérateur du rançongiciel DragonForce a employé un logiciel malveillant sur mesure baptisé ‘Backdoor.Turn’. Son objectif était de dissimuler les communications de commandement et contrôle au sein de l’infrastructure de relais de Microsoft Teams.
Cette porte dérobée exploite le protocole TURN (Traversal Using Relays around NAT). Microsoft Teams utilise ce standard pour distribuer les messages lorsqu’une connexion directe au client est impossible, par exemple pour des clients sur un réseau privé.
DragonForce est une opération de rançongiciel active depuis au moins 2023. Elle a adopté une structure organisationnelle de type cartel et des liens ont été établis avec le groupe de menaces tristement célèbre Scattered Spider.
Les experts de la société de cybersécurité Symantec rapportent que les pirates ont utilisé ce logiciel malveillant personnalisé, écrit en Go, lors d’une attaque contre une grande entreprise de services américaine.
Backdoor.Turn détourne l’infrastructure TURN de Teams. Il acquiert d’abord un jeton de visiteur anonyme pour Teams, puis utilise un relais TURN légitime de Microsoft lors de l’établissement de la connexion. Il se connecte ensuite au serveur de commandement et contrôle de l’attaquant.
Cette technique a pour conséquence que les défenseurs observent un trafic associé à l’infrastructure Microsoft Teams. Le logiciel malveillant peut alors camoufler ses communications au sein d’un réseau de confiance.
L’année dernière, Praetorian avait présenté une nouvelle technique nommée ‘Ghost Calls’. Elle démontrait comment des identifiants TURN temporaires pour Teams et Zoom pouvaient être détournés afin de créer des tunnels de communication discrets via ces infrastructures de conférence.
Si Ghost Calls a illustré le concept en 2025, Backdoor.Turn est le premier logiciel malveillant repéré en conditions réelles qui abuse des relais TURN de Microsoft Teams pour ses communications de commandement et contrôle.
Les chercheurs soulignent également l’exploitation du pilote HWAuidoOs2Ec.sys de Huawei, surnommé « Havoc Process Terminator ». Les pirates l’utilisent pour échapper aux défenses dans le cadre de tactiques BYOVD (Bring Your Own Vulnerable Driver).
Le déroulement des attaques DragonForce
L’attaque, observée en décembre 2025, a probablement débuté par l’exploitation d’une faille non identifiée sur un serveur SQL ou MSSQL.
Après avoir établi une première présence, l’attaquant a téléchargé une archive ZIP. Elle contenait un exécutable légitime (VirtualBox/DbgView) et un fichier DLL malveillant utilisé pour un chargement latéral.
À ce stade, le pirate a renforcé sa persistance. Il a créé des utilisateurs frauduleux, a abusé de la politique de sécurité Windows LimitBlankPassword pour faciliter l’accès, et a modifié des règles de pare-feu.
Il a ensuite employé des techniques BYOVD avec plusieurs pilotes vulnérables. Parmi eux figuraient le pilote Huawei déjà cité, mais aussi wsftprm.sys de Topaz Antifraud, GameDriverx64.sys de Tower of Fantasy, et K7RKScan.sys de K7 Security. Le but était d’obtenir des privilèges au niveau du noyau et de désactiver les outils de sécurité sur la machine hôte.
Le pirate a aussi utilisé ABYSSWORKER, un pilote malveillant personnalisé qui se faisait passer pour un pilote légitime de Palo Alto.
Le cheval de Troie d’accès à distance Backdoor.Turn a été injecté dans ‘DbgView64.exe’ après le déploiement du rançongiciel. Cela laisse penser qu’il était destiné à assurer la persistance ou un accès futur.
Ses fonctionnalités sont multiples. Il peut exécuter des commandes, créer des processus, scanner le réseau, capturer des certificats TLS, interroger l’Active Directory via LDAP, collecter les titres de sites web, et voler les identifiants des navigateurs.
Une fois la reconnaissance terminée et les défenses contournées, l’attaquant a exfiltré toutes les données. Il a ensuite déployé le rançongiciel DragonForce et chiffré les systèmes de la victime.
Les chercheurs indiquent que les pirates responsables de cette campagne font preuve d’un savoir-faire cybercriminel exceptionnellement sophistiqué.
Symantec a publié une liste complète d’indicateurs de compromission pour aider les défenseurs à détecter et bloquer ce type d’attaques.