Các tác nhân đe dọa liên quan đến mã độc tống tiền DragonForce đã được quan sát thấy đang sử dụng một trojan truy cập từ xa (RAT) tùy chỉnh viết bằng ngôn ngữ Go có tên là Backdoor.Turn để che giấu lưu lượng điều khiển (C2) bên trong hạ tầng relay của Microsoft Teams.
Theo những phát hiện từ Symantec (thuộc Broadcom) và Carbon Black, backdoor này đã được triển khai để tấn công một công ty dịch vụ lớn tại Mỹ. Tên của công ty này không được tiết lộ.
"Backdoor.Turn lấy một token khách truy cập Teams ẩn danh từ các dịch vụ danh tính được hỗ trợ bởi Skype của Microsoft, sử dụng một Microsoft TURN relay hợp lệ để thiết lập kết nối, và sau đó chạy một phiên QUIC đến máy chủ điều khiển (C2) thực sự của kẻ tấn công," Nhóm Threat Hunter cho biết trong một báo cáo chia sẻ với The Hacker News.
"Đối với những người phòng thủ mạng, lưu lượng duy nhất họ có thể thấy là các kết nối outbound đến các máy chủ Microsoft Teams hợp lệ. Những kẻ tấn công đã hiện diện trong mạng lưới nạn nhân từ một đến hai tháng."
Lạm dụng hạ tầng TURN của Microsoft
Sự phát triển này đánh dấu trường hợp đầu tiên được ghi nhận công khai về việc các tác nhân đe dọa lạm dụng hạ tầng relay TURN (Traversal Using Relays around NAT) của Microsoft.
Người ta nghi ngờ rằng tác nhân đe dọa đã có được quyền truy cập ban đầu bằng cách khai thác một lỗ hổng trong máy chủ SQL hoặc MS-SQL, mặc dù bản chất chính xác của lỗ hổng vẫn chưa được xác định. Cũng có khả năng quyền truy cập này được mua từ một kẻ môi giới truy cập ban đầu (IAB).
Hoạt động độc hại ban đầu trên mạng nạn nhân bắt đầu vào tháng 12 năm 2025, khi những kẻ tấn công chạy một lệnh PowerShell để tải xuống một tệp nén ZIP dưới chiêu bài là một bản sửa lỗi hỗ trợ kỹ thuật. Tệp ZIP này chịu trách nhiệm khởi chạy một cuộc tấn công DLL side-loading, sau đó chạy một DLL giả mạo để thực hiện trinh sát, thiết lập sự hiện diện lâu dài và làm vô hiệu hóa phần mềm bảo mật bằng cách sử dụng driver của Huawei ("HWAuidoOs2Ec.sys").
Kỹ thuật BYOVD và các Driver độc hại
Điều này được thực hiện thông qua kỹ thuật tấn công được gọi là bring your own vulnerable driver (BYOVD). Driver này đã được sử dụng trong một chiến dịch malvertising quy mô lớn nhắm vào các cá nhân tại Mỹ đang tìm kiếm các tài liệu liên quan đến thuế, mặc dù chiến dịch này được cho là diễn ra sau sự cố mã độc tống tiền.
Một số driver khác được sử dụng cho mục đích này bao gồm:
- wsftprm.sys (CVE-2023-52271)
- GameDriverX64.sys (CVE-2025-61155)
- K7RKScan.sys (CVE-2025-1055)
- ABYSSWORKER, một driver độc hại được xây dựng tùy chỉnh từng được quan sát thấy trong các cuộc tấn công mã độc tống tiền Medusa.
Duy trì truy cập thông qua Ghost Calls
Điểm đáng chú ý trong cuộc tấn công là việc thực thi Backdoor.Turn bằng cách tiêm nó vào tiến trình "DbgView64.exe" hợp lệ sau khi mã độc tống tiền DragonForce đã được triển khai. Điều này cho thấy nỗ lực duy trì quyền truy cập liên tục vào máy chủ bị xâm nhập cho các cuộc tấn công sau này hoặc để bán lại nhằm trục lợi.
Cơ chế dựa trên TURN của Backdoor.Turn dựa trên một kỹ thuật giao tiếp C2 lén lút được gọi là Ghost Calls đã được Praetorian ghi nhận vào tháng 8 năm 2024. Backdoor này hỗ trợ một loạt các khả năng, bao gồm thực thi lệnh, tạo tiến trình, quét mạng, tìm kiếm LDAP và Active Directory, di chuyển ngang hàng dựa trên thông tin xác thực và đánh cắp thông tin đăng nhập trình duyệt.
"Mã độc yêu cầu một token khách truy cập từ backend của Microsoft Teams/Skype, sử dụng token đó để tương tác với hạ tầng liên quan đến Teams (TURN relay), và sau đó thiết lập kết nối outbound," Symantec và Carbon Black giải thích.
"Sau khi thiết lập với sự hỗ trợ của relay, mã độc sẽ thiết lập một phiên QUIC trực tiếp đến máy chủ C&C độc hại."
Sự phát triển của tổ chức tội phạm DragonForce
Các phát hiện này vẽ nên bức tranh về một nhóm tin tặc đang dựa vào các kỹ thuật tinh vi để thực hiện các cuộc tấn công có mục tiêu tác động cao, đồng thời khiến nạn nhân không hề hay biết về việc dữ liệu bị đánh cắp bí mật. Điều này đặc biệt quan trọng khi Hackledorb, tác nhân đe dọa đứng sau DragonForce, đã chuyển đổi từ mô hình Ransomware-as-a-Service (RaaS) thông thường sang cấu trúc một liên minh tội phạm (cartel) được tổ chức chặt chẽ và bài bản.
Công ty cho biết: "Dòng thời gian hoạt động cho thấy một mô hình phát triển năng lực liên tục, với việc áp dụng các kỹ thuật tiên tiến trở thành đặc điểm nổi bật trong các hoạt động sau năm 2025 của họ. Việc triển khai Backdoor.Turn, kết hợp với kỹ thuật lẩn tránh BYOVD đa phương thức, đã đưa họ trở thành một trong những nhóm mã độc tống tiền kiên trì và có năng lực nhất hiện nay."