Pular para o conteúdo principal
Fechar
Segurança

Backdoor.Turn: O Ransomware Que Se Escondeu no Microsoft Teams por 2 Meses

Gabriel Ferraresi· CEO | Tech863 de julho de 20265 min
segurancaransomwaredragonforcemicrosoft-teamsturn-relayc2byovd

Um grupo de ransomware se escondeu dentro do Microsoft Teams por 2 meses e ninguém notou. Não porque o Teams foi hackeado. Porque o Teams funcionou exatamente como foi projetado. Nós analisamos o caso e o sinal é claro: a infraestrutura que as organizações mais confiam se tornou o esconderijo perfeito.

A escala do problema: 2 meses escondido no Teams

Segundo a Broadcom/Symantec, que documentou o caso em 16 de junho de 2026, o Backdoor.Turn é um backdoor custom em Go e o primeiro malware no wild a abusar da infraestrutura TURN relay do Microsoft Teams para comunicação C&C. A vítima: uma grande empresa de serviços dos EUA. O grupo DragonForce permaneceu indetectável por dois meses — não por falha de detecção, mas porque o tráfego era, por design, indistinguível de colaboração legítima.

O paradoxo é o que importa. A orientação que a própria Microsoft publica — whitelist de IPs do Teams, isenção de TLS inspection, split-tunnel VPN bypass — é exatamente o que torna o tráfego indetectável. Times de segurança são instruídos a confiar nesse tráfego. O atacante usa essa confiança como esconderijo.

A técnica: Backdoor.Turn e o abuso do TURN relay

O mecanismo é o que diferencia o Backdoor.Turn de C2 convencional. Segundo a Broadcom/Symantec, o backdoor obtém um token anônimo de visitor do Teams — sem conta, sem reunião. Usa o token para interagir com um servidor TURN legítimo da Microsoft durante o setup de conexão. Depois, estabelece uma sessão QUIC direta para o C2 do atacante.

Para defensores de rede, o tráfego observado são conexões outbound para servidores legítimos do Microsoft Teams. Não há domínio suspeito para bloquear. Não há certificado estranho para inspecionar. Não há payload anômalo para detectar na camada de rede. O tráfego é, por design, confiável.

O precedente: Praetorian Ghost Calls e a omissão da Microsoft

A técnica não nasceu com o DragonForce. Segundo a Praetorian, que demonstrou a técnica "Ghost Calls" no Black Hat USA 2025, o abuso de TURN relay para C2 é conhecido há pelo menos um ano. O Zoom corrigiu em dias — restringiu credenciais TURN para alcançar apenas infraestrutura própria. A Microsoft não implementou restrição similar.

Dez meses depois, o DragonForce foi o primeiro a usar a técnica no wild. Não é vulnerabilidade. É abuso de funcionalidade legítima. O token de visitor anônimo e o TURN relay são features, não bugs. Por isso não tem CVE. E por isso é mais difícil de corrigir: bloquear afeta funcionalidade legítima do Teams.

A cadeia completa do ataque DragonForce

A cadeia é o que mostra a sofisticação da operação. Segundo a análise, o acesso inicial foi via SQL server em dezembro de 2025. Depois: DLL sideloading via DbgView64.exe legítimo. Persistência com scheduled tasks, registry run keys e criação de usuários. Evasão defensiva com BYOVD multi-vetor.

Os drivers vulneráveis — Huawei, Topaz, Tower of Fantasy, K7 Security, mais um driver custom ABYSSWORKER mascarado como Palo Alto — terminam processos de segurança em kernel-level. Depois: exfiltração, deploy do ransomware DragonForce, criptografia. O Backdoor.Turn foi injetado depois da criptografia — persistência pós-ataque ou revenda de acesso.

BYOVD: matando o EDR antes do backdoor

O detalhe que muda tudo: o atacante matou o EDR primeiro com BYOVD antes de deployar o backdoor. BYOVD (Bring Your Own Vulnerable Driver) é a técnica de carregar um driver legítimo e assinado, porém vulnerável, para escalar privilégios e terminar processos de segurança em kernel-level. Sem EDR, o backdoor opera sem oposição.

A Microsoft mantém a Vulnerable Driver Block List, mas ela precisa estar enforced, não opcional. Segundo a própria Microsoft, a lista protege contra drivers assinados porém vulneráveis. Sem enforcement, cada driver vulnerável carregado é um EDR morto.

O problema de categoria: não é só Teams

O problema é de categoria. Não é só Teams. Qualquer plataforma de comunicação em tempo real com TURN relay — Zoom, WebEx, Google Meet — é potencialmente vulnerável à mesma técnica. A categoria inteira de "tráfego de colaboração confiável" está comprometida.

Se sua estratégia de detecção é "esse tráfego vai para a Microsoft, então é seguro", você tem um ponto cego. E o ponto cego não é apenas da Microsoft — é de toda plataforma de colaboração que usa TURN relay.

A defesa: detecção em endpoint, não em rede

A defesa é detecção em endpoint, não em rede. Comportamento de processo: injeção em DbgView64.exe, QUIC anômalo de processos não-padrão. Monitorar Event ID 7045 — registro de novo kernel driver. A Microsoft Vulnerable Driver Block List precisa estar enforced. Zero Trust: verificar comportamento, não plataforma.

Tráfego que vai para a Microsoft não é automaticamente seguro. Tráfego que vai para o Zoom não é automaticamente seguro. A plataforma não é o sinal de confiança — o comportamento é.

Conclusão: a infraestrutura confiável virou o esconderijo perfeito

Nós repetimos: a infraestrutura que as organizações mais confiam se tornou o esconderijo perfeito. O Backdoor.Turn não hackeou o Teams — ele usou o Teams como foi projetado. E o atacante matou o EDR primeiro com BYOVD antes de deployar o backdoor, garantindo que nada ficasse no caminho.

A defesa não é bloquear o Teams. A defesa é detectar comportamento, não plataforma. Monitorar processo, não apenas rede. Enforced a Vulnerable Driver Block List. Aplicar Zero Trust ao tráfego de colaboração. Na Tech86, nós ajudamos empresas a construir exatamente esse tipo de detecção — antes que o tráfego confiável vire o canal de comando e controle do próximo ataque.

Precisa de orientação especializada?

Agende uma consultoria com nossos especialistas.

Resposta a Incidentes e Segurança de Endpoint

Perguntas Frequentes

Segundo a Broadcom/Symantec, o Backdoor.Turn é um backdoor custom em Go documentado em 16 de junho de 2026. É o primeiro malware no wild a abusar da infraestrutura TURN relay do Microsoft Teams para comunicação C2. Ele obtém um token anônimo de visitor do Teams (sem conta, sem reunião), usa o token para interagir com um servidor TURN legítimo da Microsoft durante o setup de conexão e depois estabelece uma sessão QUIC direta para o C2 do atacante. Para defensores de rede, o tráfego observado são conexões outbound para servidores legítimos do Microsoft Teams.

Não é vulnerabilidade — é abuso de funcionalidade legítima. O token de visitor anônimo e o TURN relay são features, não bugs. Por isso não tem CVE. E por isso é mais difícil de corrigir: bloquear afeta funcionalidade legítima do Teams. A orientação que a própria Microsoft publica (whitelist IPs do Teams, isentar de TLS inspection, split-tunnel VPN bypass) é o que torna o tráfego indetectável. Times de segurança são instruídos a confiar nesse tráfego.

BYOVD (Bring Your Own Vulnerable Driver) é a técnica de carregar um driver legítimo e assinado, porém vulnerável, para escalar privilégios e terminar processos de segurança em kernel-level. Segundo a análise da cadeia DragonForce, o atacante usou BYOVD multi-vetor: drivers Huawei, Topaz, Tower of Fantasy, K7 Security, mais um driver custom ABYSSWORKER mascarado como Palo Alto. Os drivers vulneráveis terminam processos de EDR em kernel-level antes do deploy do backdoor. A Microsoft Vulnerable Driver Block List precisa estar enforced para mitigar.

A detecção precisa acontecer no endpoint, não na rede. Segundo a análise, o tráfego observado são conexões outbound para servidores legítimos do Microsoft Teams — indistinguível de tráfego legítimo na camada de rede. A defesa é monitorar comportamento de processo: injeção em DbgView64.exe, sessões QUIC anômalo de processos não-padrão, registro de novos kernel drivers (Event ID 7045). Zero Trust aplicado a tráfego de colaboração: verificar comportamento, não plataforma.

Não é só Teams. Qualquer plataforma de comunicação em tempo real com TURN relay é potencialmente vulnerável — Zoom, WebEx, Google Meet. Segundo a Praetorian, que demonstrou a técnica Ghost Calls no Black Hat USA 2025, a categoria inteira de tráfego de colaboração confiável está comprometida. O Zoom corrigiu em dias restringindo credenciais TURN para alcançar apenas infraestrutura própria. A Microsoft não implementou restrição similar. Dez meses depois, DragonForce foi o primeiro a usar no wild.

Blog — Fale Conosco

Tem alguma pergunta sobre nossos artigos ou serviços? Nossa equipe está pronta para ajudar.

Agendar Reunião

Reserve um horário.

Agendar Agora

E-mail

Envie uma mensagem.

[email protected]

WhatsApp

Conversa rápida.

Endereço

Avenida Paulista, 1636 - São Paulo - SP - 01310-200

Especialista Tech86

Online agora

Olá! Como podemos ajudar a escalar seu negócio hoje?

Tech86 Engineering

Nós valorizamos sua privacidade

Utilizamos cookies e tecnologias similares para otimizar a sua experiência, analisar o tráfego do site e personalizar conteúdo. Ao clicar "Aceitar Todos", você concorda com o uso de todos os cookies. Leia nossa Política de Privacidade.