DragonForce e Backdoor.Turn: il C2 del ransomware che viaggia dentro Microsoft Teams
Backdoor.Turn di DragonForce nasconde il C2 del ransomware nei relay TURN di Microsoft Teams via QUIC, invisibile all'NDR a firme. Perché solo il ML comportamentale sul traffico lo vede.
Per uno o due mesi un'importante società di servizi statunitense ha avuto un operatore ransomware dentro la propria rete, e ogni strumento di sicurezza di rete che possedeva riportava la stessa cosa: connessioni in uscita verso i legittimi server di Microsoft Teams. Niente da segnalare. Il 16 giugno 2026 il team Threat Hunter di Symantec ha spiegato il perché: l'affiliato di DragonForce aveva distribuito una backdoor scritta in Go, Backdoor.Turn, che nasconde il proprio canale di command-and-control dentro l'infrastruttura di media-relay di Microsoft Teams. Per quanto noto a Symantec, è la prima volta che l'infrastruttura TURN relay viene abusata in questo modo in the wild — e fa crollare uno degli ultimi presupposti su cui i difensori ancora contano: che il traffico verso una destinazione cloud nota e fidata sia benigno.
Come Backdoor.Turn trasforma Microsoft Teams in un canale C2
Il meccanismo è elegante nel modo in cui di solito lo è la buona tradecraft — non aggiunge nulla di esotico alla rete, prende in prestito qualcosa che c'è già. Teams (come Zoom e quasi tutto il conferencing WebRTC) usa i server TURN — Traversal Using Relays around NAT — per inoltrare audio e video quando due endpoint non riescono a connettersi direttamente. I relay TURN sono, per progettazione, inoltratori di pacchetti generici che vivono sull'infrastruttura di Microsoft, raggiungibili da qualsiasi client presenti una credenziale valida a breve scadenza.
Backdoor.Turn entra dritto da quella porta principale:
- Richiede un token visitatore anonimo di Teams ai servizi di identità Skype-backed di Microsoft — nessun account di tenant, nessuna traccia di autenticazione nella directory della vittima.
- Usa quel token per allocare un relay TURN legittimo di Microsoft.
- Apre una sessione QUIC attraverso il relay verso il vero server C2 dell'attaccante.
Visto dal filo, l'host infetto sta parlando con endpoint della classe *.teams.microsoft.com su UDP/QUIC — esattamente lo schema che produce un portatile durante una videochiamata. Gli analisti di Symantec e Carbon Black lo dicono senza giri di parole:
"La configurazione di Backdoor.Turn fa sì che i prodotti di sicurezza vedano solo traffico C&C diretto verso server Teams legittimi, lasciando i difensori inconsapevoli che i dati vengono sottratti da attori malevoli."
Quella singola scelta progettuale neutralizza l'intera categoria del rilevamento basato sulla destinazione: reputazione IP, blocklist di domini, ispezione TLS-SNI, feed di threat intel sugli host C2 noti come malevoli. Nessuno scatta, perché la destinazione è davvero Microsoft.
Dalla ricerca "Ghost Calls" al ransomware in the wild
Non è arrivato dal nulla, ed è la parte su cui vale la pena soffermarsi. A Black Hat USA 2025 il ricercatore di Praetorian Adam Crosser ha presentato "Ghost Calls" — una tecnica per tunnelare il C2 attraverso i server TURN di Zoom e Microsoft Teams usando credenziali legittime e WebRTC, senza alcun exploit. Praetorian ha persino rilasciato uno strumento open-source, TURNt, con separazione controller/relay, SOCKS proxy, port forwarding ed esfiltrazione integrati. Il senso di Ghost Calls era che i media server di conferencing sono distribuiti globalmente, a bassa latenza e universalmente in allowlist — quindi le sessioni C2 interattive si confondono con "qualcuno è entrato in una riunione".
Circa dieci mesi dopo, DragonForce — un gruppo che Symantec traccia come Hackledorb, operatore di un ransomware-as-a-service che è maturato in una struttura a cartello dal giugno 2023 — ha trasformato la stessa idea in un RAT Go e l'ha messa dentro un'intrusione ransomware reale. Il ritardo tra una proof of concept sul palco di una conferenza e una crew ransomware con nome e cognome che la usa sul serio è l'intera storia dell'offensiva moderna: tecnica pubblicata oggi, variante armata sulla tua rete il trimestre prossimo. Chi ha visto il talk di Black Hat e l'ha archiviato come "interessante, non urgente" ha appena imparato il costo di quell'archiviazione.
Perché il tuo NDR e il tuo EDR vedevano traffico Microsoft legittimo
I difensori avevano qui tre superfici di monitoraggio, e il progetto le sconfigge tutte e tre sul lato rete:
- Reputazione della destinazione — inutile. Il relay TURN è di proprietà Microsoft ed è in ogni allowlist del pianeta.
- Firme di protocollo — inutili. QUIC dentro un'allocazione TURN è esattamente ciò a cui assomiglia il vero media di Teams; nessun pacchetto malformato, nessuna porta strana, nessun certificato self-signed da segnalare.
- Correlazione di identità — inutile. Il token visitatore anonimo non tocca mai il tenant della vittima, quindi non c'è evento di sign-in, né log di Conditional Access, né prompt MFA su cui ancorare un alert.
Sull'endpoint DragonForce è andato oltre e ha smontato l'EDR direttamente con una campagna multi-vettore Bring-Your-Own-Vulnerable-Driver — driver kernel firmati e legittimi caricati apposta per uccidere o accecare gli agenti di sicurezza. Symantec ha documentato un arsenale di driver insolitamente ampio, incluso un abuso inedito dell'Havoc Process Terminator:
| Driver | Origine | Vulnerabilità | Ruolo |
|---|---|---|---|
HWAuidoOs2Ec.sys |
Huawei | Havoc Process Terminator (inedito) | Terminazione processi di sicurezza |
wsftprm.sys |
Topaz Antifraud | CVE-2023-52271 | Terminazione processi |
Gamedriverx64.sys |
Tower of Fantasy | CVE-2025-61155 | Kill a livello kernel |
K7RKScan.sys |
K7 Security | CVE-2025-1055 | Evasione difese |
| Driver Abyss Worker | Malevolo custom | — | Disattivazione EDR |
Quando l'agente sull'host viene terminato dal kernel e il canale di rete è indistinguibile da una videochiamata, i due testimoni principali del difensore sono spariti entrambi. Non è sfortuna; è l'obiettivo esplicito della toolchain.
Uno o due mesi di permanenza prima del primo file cifrato
Il dettaglio che dovrebbe riscrivere il threat model è la cronologia. Secondo l'indagine di Symantec e i riscontri di Help Net Security, la compromissione iniziale risale a dicembre 2025, e l'operatore è rimasto nell'ambiente per uno o due mesi prima di distribuire il ransomware. In quella finestra Backdoor.Turn era impegnato nel lavoro poco glamour che precede ogni evento di cifratura su grande preda:
- esecuzione di comandi e creazione di processi,
- scansione della rete,
- enumerazione di LDAP e Active Directory,
- movimento laterale basato su credenziali,
- furto di credenziali dai browser.
Niente di tutto questo è cifratura. È tutto staging — la ricognizione, l'escalation dei privilegi e il fan-out laterale che decidono se il colpo ransomware finale blocca una share o l'intero patrimonio. Un difensore che riconosce il ransomware solo nel momento in cui i file iniziano a cambiare estensione ha già perso il mese che contava. La cifratura è la ricevuta, non l'attacco.
Cosa lo intercetta davvero: il comportamento, non la destinazione
Se reputazione della destinazione, ispezione a firme e correlazione di identità sono tutte sconfitte per progettazione, l'unico segnale che resta è il comportamento sul filo — e quel segnale è ancora forte, perché il contenuto del canale mente ma la sua forma no. Un file server di back-office che mantiene una sessione QUIC continua, lunga settimane, attraverso un relay TURN è un'anomalia per quanto legittimo sia il relay: quell'host non ha alcun motivo di "entrare in riunione", e tantomeno di farlo in modo continuo mentre nel frattempo enumera Active Directory e si propaga via SMB. La destinazione è fidata; il comportamento è assurdo.
È esattamente la lacuna che il pillar AI Traffic Analysis di Zero Hunt è stato costruito per chiudere. È un modello di deep learning proprietario addestrato su miliardi di sequenze PCAP, che gira localmente sulla GPU dell'appliance con un baseline di 2,7+ Gbit/s e quattro teste di inferenza parallele — traffico sospetto, classificazione malware, identificazione del tipo di attacco e fingerprinting applicativo. Non chiede "questa destinazione è in blocklist". Chiede se questo host, dato tutto ciò che ha sempre fatto, dovrebbe tenere questa sessione — un tunnel QUIC verso un relay da un server che non ha mai fatto una videochiamata in vita sua, attivo per settimane, in concomitanza con enumerazione AD e scritture SMB laterali. Quel composito è anomalo anche quando ogni singolo pacchetto è traffico Microsoft impeccabile, e il modello lo segnala durante la permanenza di uno o due mesi, non nel digest SIEM della mattina dopo a file già bloccati.
Anche il lato endpoint ha una risposta, ed è il secondo pillar. Il punto cieco del BYOVD — driver come quelli Huawei e Tower of Fantasy qui sopra, caricati apposta per disattivare le difese — è precisamente ciò per cui esiste la validazione continua in assumed-breach. Il pentest generativo a 10 agenti di Zero Hunt manda gli agenti Post-Exploit e Pivot contro il tuo ambiente reale per verificare se un driver vulnerabile piazzato, un token visitatore Teams forgiato o un percorso di egress QUIC non monitorato funzionano davvero prima che un affiliato di DragonForce ci provi — ogni catena di exploit generata per-target da un LLM locale, ribacktestata nell'AI Gym e firmata ECDSA nella catena di evidenze. Il modello di traffico è il testimone che sopravvive all'EDR ucciso; il motore generativo è la prova generale che trova il percorso sfruttato dal kill, mentre è ancora solo un finding e non un biglietto lasciato sul transom.
Il contributo di DragonForce al settore non è un nuovo exploit. È un promemoria che "destinazione fidata" non è mai stata una proprietà di sicurezza — e che su una rete dove il malware prende in prestito i relay di Microsoft, l'unica cosa che resta da valutare è se il comportamento abbia senso.