Des chercheurs de Symantec et Carbon Black ont documenté une attaque attribuée à DragonForce dans laquelle le groupe a utilisé les relais de Microsoft Teams pour masquer ses communications de commande et de contrôle. Une technique rare, portée par une porte dérobée écrite en Go, qui montre combien les outils collaboratifs de confiance peuvent devenir des zones aveugles pour les équipes de sécurité.
Dans une entreprise, Microsoft Teams fait partie du décor. Il transporte des réunions, des appels, des messages, des échanges internes devenus presque invisibles tant ils sont ordinaires. C’est précisément cette banalité que des opérateurs liés au ransomware DragonForce auraient exploitée lors d’une attaque contre une grande société américaine de services.
Selon les chercheurs de Symantec et de l’équipe Carbon Black Threat Hunter de Broadcom, les attaquants ont utilisé une porte dérobée inédite, baptisée Backdoor.Turn, pour dissimuler leur trafic de commande et de contrôle derrière l’infrastructure de relais de Microsoft Teams. Pour les outils de supervision réseau, l’activité pouvait donc ressembler à de simples connexions sortantes vers des serveurs Microsoft légitimes.
Une attaque cachée dans un trafic de confiance
Le point central de cette attaque tient dans l’abus du protocole TURN, utilisé notamment par Teams lorsque deux participants ne peuvent pas établir de connexion directe, par exemple à cause d’un pare-feu ou d’une configuration réseau restrictive. Dans ce cas, le trafic passe par un serveur relais.
Backdoor.Turn détournerait ce mécanisme pour établir une communication avec l’infrastructure de commande et de contrôle des attaquants. Le malware obtient d’abord un jeton visiteur anonyme associé à l’écosystème Teams et Skype, utilise ensuite un relais TURN légitime de Microsoft pour préparer la connexion, puis établit une session QUIC vers le véritable serveur de commande et de contrôle.
Ce détail technique est important, car il déplace le problème. Les défenseurs ne sont pas seulement confrontés à un malware qui communique avec une adresse suspecte ou un domaine exotique. Ils observent un trafic qui s’inscrit dans un service largement utilisé, autorisé et rarement bloqué en entreprise.
Backdoor.Turn, une porte dérobée pensée pour durer
D’après Symantec et Carbon Black, Backdoor.Turn est une porte dérobée écrite en Go et injectée dans le processus légitime DbgView64.exe. Son déploiement aurait eu lieu après l’attaque par ransomware, ce qui laisse penser qu’elle pouvait servir à maintenir un accès, préparer une intrusion ultérieure ou faciliter la revente d’un accès compromis.
Ses capacités dépassent la simple persistance. Les chercheurs lui attribuent la possibilité d’exécuter des commandes, de lancer des processus, de scanner le réseau, d’explorer LDAP et Active Directory, de se déplacer latéralement avec des identifiants volés ou encore de récupérer des identifiants stockés dans les navigateurs.
L’intrusion observée aurait commencé en décembre 2025. Le point d’entrée exact n’a pas été confirmé, mais les chercheurs évoquent l’exploitation possible d’un serveur SQL ou Microsoft SQL Server vulnérable. Ils n’excluent pas non plus l’achat d’un accès initial auprès d’un courtier spécialisé, une pratique devenue fréquente dans les attaques par ransomware.
DragonForce confirme son changement de stature
DragonForce n’est pas un nouvel acteur. L’opération est active depuis 2023 et fonctionne selon un modèle de ransomware-as-a-service, avec des affiliés chargés de mener les attaques en échange d’une part des rançons. Mais l’usage de Backdoor.Turn marque un changement de niveau.
Les chercheurs soulignent qu’il reste inhabituel de voir des opérateurs de ransomware utiliser un outil propriétaire aussi sophistiqué, en particulier pour masquer leur trafic dans une infrastructure cloud de confiance. L’attaque ne repose pas seulement sur le chiffrement final des systèmes. Elle s’appuie sur une phase de présence discrète, d’évasion et de maintien d’accès, avec une compréhension fine des angles morts de la supervision réseau.
DragonForce aurait également utilisé des techniques de DLL sideloading et de BYOVD, qui consistent à exploiter des pilotes vulnérables mais signés afin de désactiver certains mécanismes de protection. Cette combinaison donne à l’opération une portée plus préoccupante qu’une attaque opportuniste classique.
