DragonForce usa relays TURN do Microsoft Teams para esconder tráfego C2 de backdoor em Go

O DragonForce não está só usando o TURN do Teams como um túnel, está transformando a infraestrutura de comunicação legítima em uma camada de anonimato operacional. O Backdoor.Turn solicita um token anônimo de visitante via Skype Identity Services (parte do ecossistema Teams), depois negocia uma sessão TURN com servidores reais da Microsoft, e só então inicia uma conexão QUIC direta com seu C2. Para defensores de rede, tudo que aparece é tráfego para teams.microsoft.com ou skype.com: sem alertas, sem bloqueios, sem logs suspeitos. É um bypass técnico elegante de firewalls, EDRs e até soluções de SSL inspection, porque o QUIC é criptografado end-to-end e o token é válido.

O driver Huawei HWAuidoOs2Ec.sys, usado no ataque, foi identificado pela Huntress em março de 2026 como um BYOVD ativo com privilégios de kernel. Ele não é um artefato antigo: é uma vulnerabilidade indocumentada (0-day na época) explorada em cadeia com o Backdoor.Turn. Isso mostra que o grupo não depende apenas de infraestrutura confiável, ele também constrói canais de elevação de privilégio sob medida, com drivers que passam por assinatura digital válida e evitam detecção por hash-based rules.

Em maio de 2026, o CEVIU já havia registrado dois casos distintos de abuso de serviços legítimos para C2: KongTuke usando múltiplos tenants do Teams para engenharia social e Nimbus Manticore trojanizando instaladores do Zoom. Mas o Backdoor.Turn é diferente, não é uma fachada de conversa ou um binário malicioso disfarçado. É um RAT que se integra ao protocolo TURN como parte do fluxo legítimo de sinalização. Antes era 'usar o Teams para enganar'; agora é 'usar o Teams para desaparecer'. A evolução real está na técnica Ghost Calls, documentada pela Praetorian em agosto de 2024, mas só agora aplicada em escala operacional por um cartel de ransomware, e não por pesquisadores ou grupos de espionagem.

Empresas que confiam em listas brancas de domínios da Microsoft (como teams.microsoft.com, skype.com, turn.office.com) para liberar tráfego estão expostas, não por falha de configuração, mas por design do protocolo. O TURN é projetado para atravessar NATs e firewalls, então bloqueá-lo quebra funcionalidades críticas de colaboração. A alternativa não é simples: exige inspeção profunda de QUIC (com decriptografia TLS 1.3), análise comportamental de tokens de visitante e correlação entre sessões TURN e tráfego QUIC de saída. Isso muda o jogo para equipes de segurança: agora, 'confiar no provedor' vira um risco estrutural, não um atalho operacional.