O grupo de ransomware DragonForce criou o Backdoor.Turn, uma backdoor em Go que disfarça comunicação de comando e controle dentro dos servidores legítimos do Microsoft Teams. Invasores ficaram na rede de uma empresa por dois meses sem detecção. Pesquisadores da Symantec e Carbon Black divulgaram a descoberta em 16 de junho de 2026.
Ransomware esconde ataque dentro do Teams
O grupo DragonForce desenvolveu uma ferramenta capaz de disfarçar todo o tráfego de comando e controle dentro dos servidores legítimos do Microsoft Teams. O resultado: invasores permaneceram na rede de uma grande empresa americana por até dois meses sem que nenhum sistema de segurança detectasse a comunicação maliciosa. A técnica, documentada pela primeira vez pela equipe de threat hunting da Symantec e Carbon Black (ambas da Broadcom) em 16 de junho, representa um salto na sofisticação de ataques de ransomware.
Como o Backdoor.Turn funciona
A backdoor, batizada de Backdoor.Turn, é escrita em Go e opera em três etapas. Primeiro, ela obtém um token anônimo de visitante do Microsoft Teams usando os serviços de identidade do Skype. Depois, utiliza um servidor TURN (Traversal Using Relays around NAT) legítimo da Microsoft para estabelecer a conexão. Por fim, abre uma sessão QUIC diretamente com o servidor de C2 controlado pelos atacantes.
Para qualquer ferramenta de monitoramento de rede, o tráfego aparece como conexões de saída normais para servidores do Teams. Não há anomalia de DNS, não há portas suspeitas, não há assinatura de malware visível no tráfego. A técnica é inspirada no Ghost Calls, metodologia apresentada no Black Hat 2025 pela Praetorian, que demonstrou como infraestrutura TURN pode ser abuseada para comunicação encoberta.
A cadeia completa do ataque
O ataque começou em dezembro de 2025. Acredita-se que os invasores obtiveram acesso inicial explorando uma vulnerabilidade em um servidor SQL ou MSSQL — ou compraram o acesso de um broker de acesso inicial. Uma vez dentro, executaram um comando PowerShell que baixou um arquivo ZIP disfarçado de hotfix de suporte técnico.
O ZIP continha um executável legítimo do VirtualBox junto com uma DLL maliciosa para sideloading. Quando executado, o arquivo vboxrt.dll malicioso baixou payloads de servidores remotos e realizou reconhecimento, estabelecimento de persistência e desativação de segurança.
Os atacantes ainda criaram novas contas de usuário, removeram a configuração LimitBlankPassword para facilitar acesso e modificaram regras de firewall para garantir comunicação contínua com o C2. Somente depois de todo esse trabalho de preparação é que o ransomware DragonForce foi implantado.
BYOVD: evasão em nível de kernel
O grupo empregou uma estratégia sofisticada de BYOVD (Bring Your Own Vulnerable Driver) para obter acesso em nível de kernel e matar processos de segurança. Isso incluiu a exploração de quatro drivers assinados com vulnerabilidades conhecidas:
- HWAuidoOs2Ec.sys (Huawei) — um driver de áudio com vulnerabilidade não documentada na época do ataque, explorado em uma técnica que os pesquisadores chamaram de “Havoc Process Terminator”. A vulnerabilidade só foi documentada publicamente pela Huntress em março de 2026, ou seja, depois do ataque.
- wsftprm.sys (Topaz Antifraud) — vulnerabilidade CVE-2023-52271
- GameDriverX64.sys (Tower of Fantasy) — vulnerabilidade CVE-2025-61155
- K7RKScan.sys (K7 Security) — vulnerabilidade CVE-2025-1055
Além disso, usaram o AbyssWorker, um driver malicioso customizado que se faz passar por um driver da Palo Alto — algo raro, pois a maioria dos grupos se limita a explorar drivers legítimos já vulneráveis.
Persistência mesmo após o ransomware
Um detalhe preocupante: o Backdoor.Turn foi injetado no processo legítimo DbgView64.exe somente depois do ransomware já ter sido implantado. Isso sugere que o objetivo não era apenas o ataque em si, mas manter acesso contínuo à rede comprometida para futuras invasões ou para revender o acesso a outros grupos criminosos.
O backdoor suporta execução de comandos, criação de processos, varredura de rede (incluindo captura de certificados TLS e títulos de páginas), pesquisa LDAP/Active Directory para mapeamento completo do domínio, movimento lateral com credenciais roubadas e extração de credenciais de navegadores.
| Fase do ataque | Data aproximada | Ação |
|---|---|---|
| Acesso inicial | Dezembro 2025 | Exploração de SQL/MSSQL ou compra de acesso via broker |
| Execução e persistência | Dezembro 2025 | PowerShell baixa ZIP, DLL sideloading via VirtualBox |
| Reconhecimento e evasão | Jan–Fev 2026 | BYOVD com 4 drivers, criação de contas, alteração de firewall |
| Implantação do ransomware | Fevereiro 2026 | DragonForce criptografa e exfiltra dados da vítima |
| Backdoor.Turn | Pós-ransomware | Injeção em DbgView64.exe para persistência contínua |
DragonForce: de RaaS a cartel
O DragonForce, rastreado pela Symantec como Hackledorb, opera desde junho de 2023 e passou por uma transformação significativa. Deixou o modelo convencional de ransomware-as-a-service (RaaS) e adotou uma estrutura de cartel altamente organizada. Em outubro de 2025, anunciou uma coalizão com o Stinkbug (operador do ransomware Qilin) e o Syrphid.
A evolução para um modelo cartel implica maturidade organizacional, alocação significativa de recursos e foco em campanhas de alto impacto. Para empresas brasileiras, a mensagem é direta: o nível de sofisticação dos grupos de ransomware está acelerando, e ferramentas corporativas como o Teams se tornaram vetores de ataque.
Risco real para o Brasil
O Brasil é um dos países mais atingidos por ransomware na América Latina, e o Microsoft Teams está presente na maioria das médias e grandes empresas. A lição do ataque DragonForce é que confiar apenas em análise de tráfego de rede não é suficiente quando o atacante consegue disfarçar comunicação maliciosa dentro de infraestrutura legítima e amplamente utilizada.
Entre as recomendações práticas estão: monitorar anomalias no uso de tokens do Teams, auditar regularmente contas de usuário criadas na rede, validar a integridade de drivers assinados instalados nos endpoints e implementar detecção baseada em comportamento que identifique injeção de código em processos legítimos como DbgView64.exe.
Referências
- Symantec/Carbon Black — Hidden in Teams: DragonForce Attackers Weaponize Microsoft Teams Relays
- The Hacker News — DragonForce Hackers Abuse Microsoft Teams Relays
- SecurityWeek — Microsoft Teams Relay Servers Abused in DragonForce Ransomware Attack
- Infosecurity Magazine — DragonForce Ransomware Exploited Microsoft Teams
- Huntress — Research on HWAuidoOs2Ec.sys driver vulnerability