A evolução das ameaças cibernéticas acaba de ganhar um novo capítulo. Pesquisadores de segurança revelaram que o grupo de ransomware DragonForce está utilizando uma técnica sofisticada para esconder suas comunicações maliciosas dentro de uma infraestrutura amplamente confiável por empresas em todo o mundo: os servidores associados ao Microsoft Teams.
No centro da operação está o Backdoor.Turn, um malware desenvolvido para explorar o protocolo TURN (Traversal Using Relays around NAT), componente essencial para o funcionamento de chamadas e reuniões online. A descoberta chama atenção porque demonstra como criminosos estão transformando serviços corporativos legítimos em ferramentas de evasão, dificultando a identificação de atividades suspeitas por equipes de segurança.
O caso reforça uma tendência crescente observada em 2026. Em vez de depender exclusivamente de servidores clandestinos para controlar sistemas comprometidos, grupos de ransomware estão aproveitando plataformas amplamente utilizadas pelas empresas para mascarar suas operações. Isso torna a detecção mais complexa e amplia os desafios enfrentados por administradores de sistemas e profissionais de segurança da informação.
O que é o Backdoor.Turn e como ele abusa do Microsoft Teams
O Backdoor.Turn é um malware escrito em Go (Golang) que atua como uma porta dos fundos capaz de manter comunicação persistente entre dispositivos comprometidos e os operadores do grupo DragonForce.
O diferencial da ameaça está na forma como ela se comunica. Em vez de utilizar servidores de comando e controle tradicionais, o malware aproveita a infraestrutura relacionada ao protocolo TURN para transmitir informações e receber instruções dos criminosos.
Essa abordagem faz com que o tráfego malicioso se misture ao fluxo legítimo de comunicações corporativas. Como o Microsoft Teams é amplamente utilizado em ambientes empresariais, conexões associadas aos seus serviços costumam ser permitidas por firewalls e soluções de filtragem de rede.
Na prática, isso cria uma espécie de “camuflagem digital”. O tráfego gerado pelo malware pode parecer legítimo, reduzindo as chances de bloqueio ou investigação imediata.
O papel do protocolo TURN
O protocolo TURN (Traversal Using Relays around NAT) é uma tecnologia utilizada para facilitar comunicações em tempo real quando dispositivos não conseguem estabelecer uma conexão direta.
Ele funciona como um intermediário, retransmitindo dados entre usuários durante chamadas de voz, videoconferências e outras aplicações baseadas em comunicação em tempo real.
Esse mecanismo é fundamental para plataformas modernas de colaboração, incluindo o Microsoft Teams. Em muitas situações, os servidores TURN garantem que reuniões e chamadas funcionem corretamente mesmo em ambientes protegidos por firewalls, NATs e outras barreiras de rede.
Por ser um componente essencial para a operação dessas plataformas, o tráfego relacionado ao TURN costuma receber um alto grau de confiança dentro das organizações.
Foi justamente essa confiança que chamou a atenção dos operadores do DragonForce.
Ao utilizar canais associados ao TURN para transportar dados maliciosos, os criminosos conseguem esconder suas comunicações em um ambiente normalmente considerado seguro e necessário para as operações corporativas.
Das “chamadas fantasma” à realidade prática
O abuso do protocolo TURN não surgiu de forma inesperada.
Em 2025, pesquisadores apresentaram uma prova de conceito conhecida como Ghost Calls, que demonstrava a possibilidade de utilizar servidores TURN como canais alternativos para transferência de dados e comunicação oculta.
Na época, o estudo tinha caráter acadêmico e servia como alerta para possíveis riscos futuros.
Pouco tempo depois, o cenário mudou.
A identificação do Backdoor.Turn representa um dos primeiros casos conhecidos em que uma técnica semelhante foi incorporada a uma operação criminosa real. O que antes era apenas uma demonstração teórica passou a integrar o arsenal de um grupo especializado em extorsão digital.
Esse movimento evidencia uma realidade recorrente na segurança cibernética: conceitos apresentados em pesquisas frequentemente acabam sendo adaptados por criminosos quando oferecem vantagens operacionais relevantes.
O arsenal do grupo DragonForce: Técnicas BYOVD e drivers vulneráveis
A utilização do Backdoor.Turn é apenas uma das camadas da operação conduzida pelo DragonForce.
Os pesquisadores também identificaram o uso da técnica BYOVD (Bring Your Own Vulnerable Driver), considerada uma das estratégias mais perigosas atualmente empregadas por grupos de ransomware.
O conceito consiste em instalar drivers legítimos, porém vulneráveis, dentro do sistema comprometido.
Como esses componentes operam no nível de kernel do Windows, eles possuem privilégios elevados e podem ser explorados para executar ações normalmente bloqueadas pelos mecanismos de proteção do sistema.
Na prática, a técnica permite que os invasores desativem soluções de segurança, interrompam serviços de proteção e reduzam significativamente a capacidade de resposta de ferramentas EDR e antivírus.
Entre os drivers explorados na campanha estão componentes associados a organizações e softwares conhecidos, incluindo:
- Huawei
- Topaz Antifraud
- Tower of Fantasy
- K7 Security
Embora tenham sido desenvolvidos para finalidades legítimas, vulnerabilidades presentes nesses drivers podem ser utilizadas para executar operações privilegiadas e contornar mecanismos de defesa.
O fato de muitos desses componentes possuírem assinaturas digitais válidas torna a detecção ainda mais difícil para diversas soluções de segurança.
Como o DragonForce evita a detecção durante os ataques
A estratégia adotada pelo grupo demonstra um nível elevado de planejamento operacional.
Tradicionalmente, campanhas de ransomware dependem de servidores de comando e controle dedicados, que podem ser identificados e bloqueados por listas de reputação ou sistemas de inteligência de ameaças.
O DragonForce segue uma abordagem diferente.
Ao aproveitar uma infraestrutura associada a um serviço corporativo amplamente utilizado, o grupo reduz sua exposição e dificulta a identificação de padrões suspeitos.
Entre as vantagens obtidas pelos criminosos estão:
- Maior dificuldade de bloqueio por reputação.
- Tráfego aparentemente legítimo.
- Menor geração de alertas de segurança.
- Persistência ampliada dentro do ambiente comprometido.
- Comunicação mais discreta com os sistemas infectados.
Essa combinação representa um desafio significativo para equipes de defesa, que precisam ir além das abordagens tradicionais baseadas apenas em listas de bloqueio e assinaturas conhecidas.
Anatomia do ataque e como se proteger
As investigações indicam que os ataques atribuídos ao DragonForce seguem uma cadeia de comprometimento estruturada e altamente sofisticada.
O acesso inicial geralmente ocorre por meio da exploração de vulnerabilidades expostas à internet, incluindo falhas em aplicações web e possíveis brechas relacionadas a bancos de dados, como ataques de injeção SQL.
Após obter acesso ao ambiente, os invasores realizam reconhecimento interno para identificar ativos críticos, contas privilegiadas e oportunidades de movimentação lateral.
Na sequência, ferramentas legítimas são utilizadas para ampliar o controle sobre a infraestrutura comprometida. Entre elas estão recursos como DbgView e componentes relacionados ao VirtualBox, empregados para facilitar atividades de exploração e movimentação entre sistemas.
Com acesso ampliado, os operadores implantam drivers vulneráveis utilizados na estratégia BYOVD, neutralizando mecanismos de proteção em nível de kernel.
Somente depois dessa etapa o Backdoor.Turn é instalado para manter comunicações furtivas e persistentes.
O ataque prossegue com a exfiltração de dados confidenciais, coleta de informações estratégicas e, por fim, a criptografia dos sistemas afetados, característica típica das operações modernas de ransomware.
A associação do DragonForce a ecossistemas criminosos relacionados ao grupo Scattered Spider aumenta ainda mais a preocupação dos especialistas. Essas organizações são conhecidas por combinar engenharia social, exploração de vulnerabilidades e técnicas avançadas de evasão em campanhas altamente eficazes.
Para reduzir os riscos, especialistas recomendam:
- Monitorar conexões incomuns associadas a plataformas de colaboração corporativa.
- Revisar regularmente regras de firewall e segmentação de rede.
- Implementar políticas de bloqueio para drivers vulneráveis conhecidos.
- Utilizar soluções EDR com monitoramento comportamental avançado.
- Aplicar correções de segurança com rapidez.
- Restringir privilégios administrativos desnecessários.
- Realizar auditorias frequentes em sistemas expostos à internet.
- Monitorar atividades relacionadas ao protocolo TURN em ambientes corporativos.
A descoberta do Backdoor.Turn mostra que os criminosos continuam encontrando maneiras criativas de esconder suas operações dentro de serviços legítimos. Para as empresas, a principal lição é clara: nenhum canal de comunicação deve ser considerado automaticamente seguro apenas por estar associado a uma plataforma confiável. A visibilidade contínua do tráfego de rede e a adoção de estratégias modernas de detecção serão fundamentais para enfrentar essa nova geração de ameaças.