Il 16 giugno 2026 Symantec ha reso pubblica l'analisi di Backdoor.Turn, il primo malware in-the-wild documentato che abusa dell'infrastruttura TURN di Microsoft Teams per mascherare il traffico command-and-control. L'attacco, osservato nel dicembre 2025 contro una major US services firm, dimostra che la replica operativa di tecniche dimostrate in ricerca accademica — nel caso il proof-of-concept Ghost Calls di Praetorian del 2025 — può avvenire in meno di un anno, con il vendor ancora in posizione reattiva.
- DragonForce ha distribuito Backdoor.Turn, un RAT in Go che sfrutta relay TURN legittimi di Microsoft Teams per tunneling C2
- Il malware ottiene token visitor anonimo dai servizi di identità Skype-backed di Microsoft, stabilendo sessioni QUIC verso server controllati dall'attaccante
- L'attacco è stato osservato nel dicembre 2025 contro una major US services firm; DragonForce opera dal 2023 con struttura cartello
- Gli attaccanti hanno utilizzato tattiche BYOVD multi-driver per evasione, con driver Huawei, Topaz, Tower of Fantasy, K7 Security e il custom ABYSSWORKER
Il meccanismo TURN: perché i difensori non vedevano nulla
Il protocollo TURN (Traversal Using Relays around NAT, RFC 5766) è una componente standard dell'infrastruttura di comunicazione real-time di Microsoft Teams. Backdoor.Turn ne manipola il flusso in quattro movimenti documentati da Symantec: ottiene un token visitor anonimo tramite i servizi di identità Skype-backed di Microsoft; stabilisce un'allocation su un relay TURN legittimo della piattaforma; incapsula una sessione QUIC verso il server C2 dell'attaccante; il traffico risultante esce dall'endpoint come connessione outbound a server Microsoft, indistinguibile da quella di un utente Teams dietro NAT.
La configurazione del malware significa che i prodotti di sicurezza vedono solo traffico C&C diretto a server Teams legittimi, lasciando i difensori ignari dello sifonamento dati. Questo è il cuore della sua efficacia: non si tratta di vulnerabilità in Teams, ma di abuso di infrastruttura trusted che bypassa le assunzioni di trust delle difese network-based.
Da Ghost Calls a arma operativa: la velocità della replica criminale
Symantec sottolinea esplicitamente che Backdoor.Turn è il primo malware in-the-wild documentato con questa tecnica, sebbene il proof-of-concept Ghost Calls di Praetorian l'avesse dimostrata nel 2025. L'intervallo tra ricerca offensiva legittima e adozione in malware nation-state/crimeware si è compresso a mesi, senza che la risposta vendor precedesse l'adozione operativa. I ricercatori Symantec descrivono l'attacco come caratterizzato da "exceptionally sophisticated cyber tradecraft".
Il malware, sviluppato in Go, include capacità di esecuzione comandi, creazione processi, network scanning, cattura certificati TLS, ricerca LDAP/AD, raccolta titoli siti e furto credenziali browser. L'accesso iniziale è avvenuto probabilmente tramite exploitation di flaw sconosciuto in SQL/MSSQL server, seguito da creazione di utenti rogue, abuso della policy LimitBlankPassword e modifica delle regole firewall.
"The configuration of Backdoor.Turn means that security products only see C&C traffic going to legitimate Teams servers, leaving defenders unaware that data is being siphoned away by malicious actors" — Symantec/Carbon Black researchers, via Infosecurity Magazine
BYOVD come arte di evasione: cinque driver per cancellare la sicurezza endpoint
Gli attaccanti hanno impiegato tattiche BYOVD (Bring Your Own Vulnerable Driver) con molteplicità di driver per terminare tool di sicurezza: Huawei HWAuidoOs2Ec.sys, Topaz wsftprm.sys (CVE-2023-52271, CVSS 6.5 MEDIUM), Tower of Fantasy GameDriverx64.sys (CVE-2025-61155, CVSS 5.5 MEDIUM), K7 Security K7RKScan.sys (CVE-2025-1055, CVSS 5.6 MEDIUM). A questi si aggiunge il driver malevolo custom ABYSSWORKER, mascherato come driver Palo Alto. Secondo NVD, i tre CVE con score ufficiale confermano la gravità media delle vulnerabilità sfruttate, sufficiente per escalation locale e terminazione di processi protetti.
Il dossier non specifica se esista un CVE ufficiale per il driver Huawei impiegato; Huntress ne ha dettagliato l'abuso nel marzo 2026, ma l'identificatore non è citato nelle fonti esaminate.
Perché è importante
Il brief non documenta contromisure specifiche rilasciate da Microsoft per mitigare l'abuso TURN, né misure correttive endpoint consigliate dalla fonte. La fonte non specifica la natura completa dei dati esfiltrati, l'entità del riscatto richiesto o pagato, né la scala totale della campagna DragonForce con Backdoor.Turn — se l'unica vittima nota o se si tratti di pattern più ampio.
Ciò che emerge con chiarezza è la discontinuità operativa: le organizzazioni che si affidano alla whitelist di traffico Microsoft Teams per la sicurezza di rete devono rivalutare le loro assunzioni di trust. I relay TURN legittimi sono diventati vector di persistenza avanzata. La fonte non indica se Microsoft abbia modificato i meccanismi di rilascio token visitor o l'inspezione delle sessioni relay in risposta alla campagna.
Il caso inverte la logica tradizionale della difesa perimeter: l'infrastruttura cloud trusted non è più solo bersaglio, ma veicolo. Senza ispezione TLS e behavioral analytics oltre la semplice allow-listing di endpoint Microsoft, il traffico malevolo resta letteralmente invisibile in bella vista.
Chi è DragonForce e perché questa campagna conta
DragonForce opera dal 2023 con struttura cartello e ha legami documentati con il threat group Scattered Spider. L'attacco contro la major US services firm del dicembre 2025 rappresenta un salto di qualità nella tradecraft del gruppo: dal ransomware convenzionale all'uso di infrastruttura cloud come proxy di persistenza. Il dato non è marginale — indica che i gruppi criminali replicano la sofisticazione tipica di operatori nation-state senza la latenza temporale che caratterizzava le catene di diffusiono tecnica degli anni precedenti.
La fonte non identifica la vittima per nome, né la vulnerabilità SQL/MSSQL specifica usata per l'accesso iniziale. Il dossier non chiarisce se DragonForce abbia sviluppato internamente Backdoor.Turn o l'abbia acquisito da fornitori di accesso.
Le informazioni sono basate sull advisory citata e aggiornate al momento della pubblicazione.
Fonti
- https://www.bleepingcomputer.com/news/security/ransomware-gang-abuses-microsoft-teams-relays-to-hide-malicious-traffic/
- https://nvd.nist.gov/vuln/detail/CVE-2025-33053
- https://nvd.nist.gov/vuln/detail/CVE-2026-20182
- https://nvd.nist.gov/vuln
- https://docs.vulncheck.com/indices/vulncheck-intelligence
- https://www.infosecurity-magazine.com/news/dragonforce-ransomware-hidden/
- https://www.theregister.com/security/2026/04/25/crime-crew-impersonates-help-desk-abuses-teams-chats/5221505
- https://nvd.nist.gov/vuln/search
- https://nvd.nist.gov/vuln/categories
- https://nvd.nist.gov/vuln/data-feeds
- https://nvd.nist.gov/vuln/vendor-comments
- https://nvd.nist.gov/vuln/cvmap
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.