DragonForce Hackers Abuse Microsoft Teams Relays to Hide Backdoor.Turn C2 Traffic

1 minute de lecture

Mis à jour : June 18, 2026

Détournement des relais Microsoft Teams par le groupe DragonForce

Le groupe de ransomware DragonForce a déployé une nouvelle porte dérobée baptisée Backdoor.Turn, capable de dissimuler son trafic de commande et contrôle (C2) en utilisant l’infrastructure de relais TURN (Traversal Using Relays around NAT) de Microsoft Teams. Cette technique, appelée “Ghost Calls”, permet aux attaquants de maintenir une présence persistante sur les réseaux victimes en faisant passer leurs communications pour du trafic légitime vers les serveurs Microsoft.

Points clés :

Infiltration : Les attaquants obtiennent un accès initial, probablement via des vulnérabilités SQL ou par l’achat d’accès, avant d’utiliser une attaque par chargement latéral de DLL (DLL side-loading).
Technique BYOVD : Les cybercriminels exploitent la technique “Bring Your Own Vulnerable Driver” pour désactiver les logiciels de sécurité en utilisant des pilotes vulnérables légitimes.
Persistance : La porte dérobée est injectée dans le processus DbgView64.exe pour garantir un accès à long terme.
Capacités : Le malware permet l’exécution de commandes, la recherche dans Active Directory, l’analyse réseau et le vol d’identifiants.

Vulnérabilités exploitées (via BYOVD) :

CVE-2023-52271 (pilote wsftprm.sys)
CVE-2025-61155 (pilote GameDriverX64.sys)
CVE-2025-1055 (pilote K7RKScan.sys)
Utilisation du pilote malveillant personnalisé ABYSSWORKER.

Recommandations :

Surveillance réseau : Bien que le trafic passe par des serveurs Microsoft, surveillez les connexions sortantes inhabituelles ou persistantes vers des terminaux Teams, particulièrement celles initiées par des processus non liés aux applications de communication.
Sécurité des pilotes : Appliquez des politiques de contrôle d’intégrité du noyau (comme Windows Defender Application Control) pour bloquer le chargement de pilotes signés mais connus pour être vulnérables.
Gestion des accès : Renforcez la sécurité des serveurs SQL et auditez régulièrement les comptes à privilèges pour prévenir les compromissions initiales.
Analyse comportementale : Détectez les tentatives de désactivation des solutions de sécurité (EDR) et les comportements suspects liés au chargement de DLL non signées.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

DragonForce Hackers Abuse Microsoft Teams Relays to Hide Backdoor.Turn C2 Traffic

Détournement des relais Microsoft Teams par le groupe DragonForce

Partager sur

Vous pourriez aimer

New Prinz Eugen ransomware prioritizes recent files for encryption

Prinz Eugen : Un ransomware tactique axé sur les fichiers récents

Microsoft links Mastra AI supply chain attack to North Korean hackers

Attaque de la chaîne d’approvisionnement npm : Le groupe Sapphire Sleet visé

Klue OAuth breach victim list grows as Icarus hackers claim attack

Compromission de Klue : Vol de données Salesforce par le groupe Icarus

Hackers exploit info disclosure bug in Gravity SMTP WordPress plugin

Vulnérabilités critiques dans les extensions WordPress : Gravity SMTP et Avada Builder