Um grupo de ransomware se escondeu dentro do Microsoft Teams por 2 meses e ninguém notou. Não porque o Teams foi hackeado. Porque o Teams funcionou exatamente como foi projetado. Nós analisamos o caso e o sinal é claro: a infraestrutura que as organizações mais confiam se tornou o esconderijo perfeito.
A escala do problema: 2 meses escondido no Teams
Segundo a Broadcom/Symantec, que documentou o caso em 16 de junho de 2026, o Backdoor.Turn é um backdoor custom em Go e o primeiro malware no wild a abusar da infraestrutura TURN relay do Microsoft Teams para comunicação C&C. A vítima: uma grande empresa de serviços dos EUA. O grupo DragonForce permaneceu indetectável por dois meses — não por falha de detecção, mas porque o tráfego era, por design, indistinguível de colaboração legítima.
O paradoxo é o que importa. A orientação que a própria Microsoft publica — whitelist de IPs do Teams, isenção de TLS inspection, split-tunnel VPN bypass — é exatamente o que torna o tráfego indetectável. Times de segurança são instruídos a confiar nesse tráfego. O atacante usa essa confiança como esconderijo.
A técnica: Backdoor.Turn e o abuso do TURN relay
O mecanismo é o que diferencia o Backdoor.Turn de C2 convencional. Segundo a Broadcom/Symantec, o backdoor obtém um token anônimo de visitor do Teams — sem conta, sem reunião. Usa o token para interagir com um servidor TURN legítimo da Microsoft durante o setup de conexão. Depois, estabelece uma sessão QUIC direta para o C2 do atacante.
Para defensores de rede, o tráfego observado são conexões outbound para servidores legítimos do Microsoft Teams. Não há domínio suspeito para bloquear. Não há certificado estranho para inspecionar. Não há payload anômalo para detectar na camada de rede. O tráfego é, por design, confiável.
O precedente: Praetorian Ghost Calls e a omissão da Microsoft
A técnica não nasceu com o DragonForce. Segundo a Praetorian, que demonstrou a técnica "Ghost Calls" no Black Hat USA 2025, o abuso de TURN relay para C2 é conhecido há pelo menos um ano. O Zoom corrigiu em dias — restringiu credenciais TURN para alcançar apenas infraestrutura própria. A Microsoft não implementou restrição similar.
Dez meses depois, o DragonForce foi o primeiro a usar a técnica no wild. Não é vulnerabilidade. É abuso de funcionalidade legítima. O token de visitor anônimo e o TURN relay são features, não bugs. Por isso não tem CVE. E por isso é mais difícil de corrigir: bloquear afeta funcionalidade legítima do Teams.
A cadeia completa do ataque DragonForce
A cadeia é o que mostra a sofisticação da operação. Segundo a análise, o acesso inicial foi via SQL server em dezembro de 2025. Depois: DLL sideloading via DbgView64.exe legítimo. Persistência com scheduled tasks, registry run keys e criação de usuários. Evasão defensiva com BYOVD multi-vetor.
Os drivers vulneráveis — Huawei, Topaz, Tower of Fantasy, K7 Security, mais um driver custom ABYSSWORKER mascarado como Palo Alto — terminam processos de segurança em kernel-level. Depois: exfiltração, deploy do ransomware DragonForce, criptografia. O Backdoor.Turn foi injetado depois da criptografia — persistência pós-ataque ou revenda de acesso.
BYOVD: matando o EDR antes do backdoor
O detalhe que muda tudo: o atacante matou o EDR primeiro com BYOVD antes de deployar o backdoor. BYOVD (Bring Your Own Vulnerable Driver) é a técnica de carregar um driver legítimo e assinado, porém vulnerável, para escalar privilégios e terminar processos de segurança em kernel-level. Sem EDR, o backdoor opera sem oposição.
A Microsoft mantém a Vulnerable Driver Block List, mas ela precisa estar enforced, não opcional. Segundo a própria Microsoft, a lista protege contra drivers assinados porém vulneráveis. Sem enforcement, cada driver vulnerável carregado é um EDR morto.
O problema de categoria: não é só Teams
O problema é de categoria. Não é só Teams. Qualquer plataforma de comunicação em tempo real com TURN relay — Zoom, WebEx, Google Meet — é potencialmente vulnerável à mesma técnica. A categoria inteira de "tráfego de colaboração confiável" está comprometida.
Se sua estratégia de detecção é "esse tráfego vai para a Microsoft, então é seguro", você tem um ponto cego. E o ponto cego não é apenas da Microsoft — é de toda plataforma de colaboração que usa TURN relay.
A defesa: detecção em endpoint, não em rede
A defesa é detecção em endpoint, não em rede. Comportamento de processo: injeção em DbgView64.exe, QUIC anômalo de processos não-padrão. Monitorar Event ID 7045 — registro de novo kernel driver. A Microsoft Vulnerable Driver Block List precisa estar enforced. Zero Trust: verificar comportamento, não plataforma.
Tráfego que vai para a Microsoft não é automaticamente seguro. Tráfego que vai para o Zoom não é automaticamente seguro. A plataforma não é o sinal de confiança — o comportamento é.
Conclusão: a infraestrutura confiável virou o esconderijo perfeito
Nós repetimos: a infraestrutura que as organizações mais confiam se tornou o esconderijo perfeito. O Backdoor.Turn não hackeou o Teams — ele usou o Teams como foi projetado. E o atacante matou o EDR primeiro com BYOVD antes de deployar o backdoor, garantindo que nada ficasse no caminho.
A defesa não é bloquear o Teams. A defesa é detectar comportamento, não plataforma. Monitorar processo, não apenas rede. Enforced a Vulnerable Driver Block List. Aplicar Zero Trust ao tráfego de colaboração. Na Tech86, nós ajudamos empresas a construir exatamente esse tipo de detecção — antes que o tráfego confiável vire o canal de comando e controle do próximo ataque.