O grupo de ransomware DragonForce invadiu a rede de uma grande empresa de serviços nos Estados Unidos e permaneceu sem ser detectado por até dois meses, usando o Microsoft Teams para ocultar o tráfego de comando e controle. A informação consta em um relatório divulgado pela Symantec e pela Carbon Black na última terça-feira (16).
Como foi feita a ocultação
Pesquisadores identificaram o malware como Backdoor[.]Turn, desenvolvido na linguagem Go. O backdoor aproveitou servidores TURN do Microsoft Teams — parte da infraestrutura de chamadas de voz e vídeo — para mascarar conexões entre a máquina comprometida e os servidores controlados pelos invasores. Para estabelecer o canal, o programa obtinha um token de visitante anônimo nos serviços de identidade do Teams, baseados na infraestrutura do Skype, e usava servidores TURN legítimos da Microsoft para criar comunicações que aparentavam tráfego normal do Teams.
A comunicação maliciosa transitava sobre o protocolo QUIC, o que, segundo os pesquisadores, tornou o tráfego quase indistinguível para ferramentas de segurança tradicionais e fez com que defensores vissem apenas acessos legítimos ao Teams.
Capacidades do backdoor e movimentação na rede
Além de ocultar o canal de comando e controle, o Backdoor[.]Turn permitia a execução remota de comandos, varredura da rede em busca de outros ativos vulneráveis e movimento lateral usando credenciais roubadas. O malware também furtava senhas salvas em navegadores, facilitando acesso a novas máquinas dentro da mesma infraestrutura.
Exploração de driver e manutenção do acesso
Os atacantes exploraram uma vulnerabilidade em um driver da Huawei que, na época do incidente, não era de conhecimento público; a falha foi detalhada pela empresa de segurança Huntress em março de 2026. Essa técnica, conhecida como BYOVD (bring your own vulnerable driver), permite executar código com privilégios elevados e contornar soluções de detecção ao instalar um driver legítimo, porém vulnerável.
Para preservar o controle sobre a rede, os invasores também alteraram configurações do Windows — incluindo a desativação do recurso Limit Blank Password — criaram novas contas de usuário e modificaram regras de firewall para não bloquear a comunicação com seus servidores de comando e controle.
Imagem: Divulgação
Entrada inicial e desfecho
Segundo o relatório, o ponto inicial de intrusão provavelmente foi a exploração de uma vulnerabilidade em um servidor SQL ou MSSQL. Depois de circular pela rede e coletar dados por até dois meses, o grupo lançou o ransomware DragonForce, roubando informações e criptografando máquinas da empresa. Não há informações públicas sobre pagamento de resgate ou negociações para exclusão dos dados.
O DragonForce é apontado pelos pesquisadores como um dos grupos de ransomware mais ativos e sofisticados atualmente, tendo reivindicado ataques a grandes redes varejistas. A combinação do Backdoor[.]Turn com técnicas de evasão e drivers vulneráveis é citada como indicativo da capacidade e persistência do grupo.
Com informações de Tecmundo
Gudyê GR6 é editor-chefe e especialista em tendências musicais e entretenimento na GR6, a maior produtora de funk do Brasil. Com anos de experiência no mercado fonográfico, Gudyê lidera a equipe de conteúdo trazendo as últimas notícias sobre música, cultura urbana. Autor do Post: Gudyê GR6
