TempMail Ninja
//

Malware Backdoor.Turn: DragonForce usa Microsoft Teams para sus ataques

4 min de lectura
TempMail Ninja
Malware Backdoor.Turn: DragonForce usa Microsoft Teams para sus ataques

Contenido del artículo

La delincuencia cibernética ha alcanzado un nuevo e inquietante hito en su evolución táctica. Recientemente, investigadores de seguridad de las firmas Symantec y Carbon Black revelaron cómo el grupo de ransomware DragonForce (también conocido en el ámbito de la inteligencia de amenazas como Hackledorb) ha logrado manipular la infraestructura legítima de Microsoft Teams para evadir los controles perimetrales más estrictos. El núcleo de esta sofisticada campaña es el malware Backdoor.Turn, un troyano de acceso remoto (RAT) programado en el lenguaje Go que ha redefinido las reglas de evasión de red al utilizar servidores de retransmisión oficiales de Microsoft para enmascarar su tráfico de comando y control (C2). Esta técnica representa la primera vez documentada en el mundo real en la que los actores de amenazas abusan de la arquitectura TURN (Traversal Using Relays around NAT) de Teams con fines maliciosos, permitiendo que los atacantes operaran sin ser detectados durante casi dos meses dentro de una importante firma de servicios de los Estados Unidos.

La anatomía técnica de la amenaza: Así opera el malware Backdoor.Turn

Para comprender la gravedad de esta amenaza, es necesario analizar cómo el malware Backdoor.Turn altera fundamentalmente la forma en que los defensores de red evalúan el tráfico saliente. El protocolo TURN fue diseñado originalmente por Microsoft para facilitar la comunicación de voz y video en entornos donde la conectividad directa de igual a igual (P2P) se ve obstaculizada por firewalls simétricos o sistemas de traducción de direcciones de red (NAT). En esencia, el servidor TURN de Microsoft actúa como un intermediario de confianza que retransmite el tráfico legítimo de la plataforma de colaboración.

DragonForce aprovechó esta característica de diseño para canalizar sus comunicaciones de C2 directamente a través de estos servidores de Microsoft. El flujo técnico de la conexión se ejecuta de la siguiente manera:

  • Obtención de credenciales de invitado: El malware solicita un token de visitante anónimo de Teams directamente a los servicios de identidad de Microsoft, los cuales son respaldados por la infraestructura heredada de Skype.
  • Establecimiento de la retransmisión: Utilizando dicho token legítimo, el implante se conecta a un servidor TURN oficial de Microsoft Teams.
  • Canalización mediante QUIC: Una vez establecida la conexión con el relevo de Microsoft, la herramienta maliciosa inicia una sesión QUIC (un protocolo de capa de transporte rápido basado en UDP) que atraviesa el servidor de Teams hasta llegar al servidor C2 real controlado por los atacantes.

Desde el punto de vista del analista del Centro de Operaciones de Seguridad (SOC) y de los sistemas de prevención de intrusiones (IPS), el tráfico saliente parece completamente inocuo. No existen direcciones IP sospechosas ni dominios no registrados en la comunicación; todo el tráfico se dirige hacia rangos de direcciones IP verificados y certificados que pertenecen a Microsoft Teams. Esto anula las defensas tradicionales basadas en reputación de IP, firewalls de próxima generación (NGFW) y pasarelas web seguras (SWG).

La inspiración táctica: Del concepto “Ghost Calls” a la práctica delictiva

La capacidad de utilizar servicios de communications unificadas para el desvío de tráfico no es un concepto completamente nuevo en la teoría, pero su implementación práctica por parte de un grupo de ransomware representa un salto cuantitativo en la madurez técnica de los cibercriminales. Los investigadores señalan que la técnica empleada por el malware Backdoor.Turn está fuertemente inspirada en la metodología conocida como “Ghost Calls”, la cual fue presentada originalmente en la prestigiosa conferencia Black Hat de 2025.

Aquel estudio académico demostraba que era posible estructurar canales de comando y control que resultaran prácticamente imposibles de perfilar desde la perspectiva de la red debido al uso de protocolos de comunicación interactiva en tiempo real. DragonForce ha sido el primer grupo organizado en tomar esta investigación teórica y transformarla en una herramienta ofensiva de grado militar para proteger sus operaciones de ransomware. Esta transición de la academia a la práctica demuestra que los carteles de ransomware ya no dependen exclusivamente de herramientas comerciales modificadas, sino que están invirtiendo recursos significativos en el desarrollo de malware altamente personalizado y adaptado para evadir defensas modernas.

La cadena de ataque paso a paso: Infiltración y persistencia sigilosa

La campaña dirigida contra la firma

Etiquetas

Amenazas persistentesciberinteligenciaciberseguridadransomware
TN

Escrito por

TempMail Ninja

Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.

También te puede interesar

Alerta de malware en WhatsApp: Campaña de scripts maliciosos

Malware Voidrift: Nueva campaña de phishing en el Mundial 2026

Malware clipper: la nueva estafa que manipula VirusTotal y GitHub