Ransomware DragonForce menggunakan malware khusus bernama ‘Backdoor.Turn’ untuk menyembunyikan lalu lintas perintah dan kontrol di dalam infrastruktur relai Microsoft Teams.
Pintu belakang menyalahgunakan protokol Traversal Menggunakan Relai di sekitar NAT (TURN) yang digunakan oleh Microsoft Teams untuk mendistribusikan pesan ketika koneksi langsung ke klien tidak tersedia (misalnya, klien di jaringan pribadi).
DragonForce adalah operasi ransomware aktif setidaknya sejak tahun 2023, yang mengadopsi struktur organisasi bergaya kartel dan telah dikaitkan dengan kelompok ancaman Laba-laba Tersebar yang terkenal.
Menurut peneliti di perusahaan keamanan siber Symantec, para peretas menggunakan malware khusus berbasis Go dalam serangan terhadap perusahaan jasa besar AS.
Backdoor.Turn menyalahgunakan infrastruktur TURN Teams dengan mendapatkan token pengunjung Teams anonim, menggunakan relai Microsoft TURN yang sah selama pengaturan koneksi, dan kemudian menghubungkan ke server perintah dan kontrol (C2) penyerang.
Akibatnya, pembela HAM melihat lalu lintas yang terkait dengan infrastruktur Microsoft Teams, sehingga memungkinkan malware menyembunyikan komunikasinya dalam jaringan tepercaya.
Tahun lalu, Praetorian mengembangkan teknik baru yang diberi nama ‘Panggilan Hantu‘, yang menunjukkan bagaimana kredensial TURN sementara untuk Teams dan Zoom dapat dibajak untuk menciptakan terowongan komunikasi tersembunyi melalui infrastruktur konferensi tepercaya.
Meskipun Ghost Calls mendemonstrasikan konsep tersebut pada tahun 2025, Backdoor.Turn adalah malware pertama yang diketahui menyalahgunakan relay Microsoft Teams TURN untuk komunikasi perintah dan kontrol.
“Backdoor.Turn, RAT berbasis Go, adalah malware pertama yang diketahui menyalahgunakan server relai TURN Microsoft Teams untuk menutupi lalu lintas perintah dan kontrol,” kata Symantec.
Para peneliti juga menyoroti eksploitasi driver HWAuidoOs2Ec.sys (“Havoc Process Terminator”) Huawei, yang digunakan untuk menghindari taktik Bring Your Own Vulnerable Driver (BYOVD).
Serangan DragonForce
Serangan tersebut, yang diamati pada bulan Desember 2025, kemungkinan besar dimulai dengan eksploitasi kelemahan yang tidak diketahui pada server SQL atau MSSQL, catatan Symantec.
Setelah penyerang mendapatkan pijakan, mereka mengunduh arsip ZIP yang berisi VirtualBox/DbgView sah yang dapat dieksekusi dan file DLL berbahaya yang digunakan untuk sideload.
Pada tahap ini, penyerang memperkuat persistensinya, menciptakan pengguna jahat, menyalahgunakan kebijakan keamanan LimitBlankPassword di Windows untuk kemudahan akses, dan mengubah aturan firewall.
Selanjutnya, mereka menggunakan teknik BYOVD dengan beberapa driver seperti HWAuidoOs2Ec.sys Huawei, Topaz Antifraud wsftprm.sys (CVE-2023-52271), Tower of Fantasy GameDriverx64.sys (CVE-2025-61155), dan K7 Security K7RKScan.sys (CVE-2025-1055), untuk mendapatkan hak istimewa tingkat kernel dan menghentikan alat keamanan pada host.
Peretas juga menggunakan ABYSSWORKER, driver jahat khusus yang menyamar sebagai driver Palo Alto yang sah.
Trojan akses jarak jauh (RAT) Backdoor.Turn disuntikkan ke ‘DbgView64.exe’ setelah menyebarkan ransomware, menunjukkan bahwa itu mungkin dimaksudkan untuk persistensi atau akses di masa mendatang.
Malware memperoleh token pengunjung Teams anonim menggunakan server relai Microsoft TURN yang sah selama pengaturan koneksi dan menjalin komunikasi dengan C2.
Kemampuannya mencakup eksekusi perintah, pembuatan proses, pemindaian jaringan, pengambilan sertifikat TLS, pencarian LDAP/Direktori Aktif, pengumpulan judul situs web, dan pencurian kredensial browser.
Setelah menyelesaikan pengintaian dan menghindari pertahanan, penyerang mengambil semua data, menyebarkan ransomware DragonForce, dan mengenkripsi sistem korban.
Para peneliti mengatakan bahwa para peretas di balik “kampanye ini menggunakan perdagangan siber yang sangat canggih.”
Symantec telah menerbitkan daftar lengkap indikator kompromi (IoC) untuk membantu para pembela HAM menangkap dan memblokir serangan semacam itu.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
