Ghost Calls convirtieron las videollamadas en túneles invisibles para hackers, y nadie se dio cuenta

En la conferencia BlackHat USA se presentó un nuevo método para evadir la detección de tráfico C2, denominado Ghost Calls. Este enfoque no explota vulnerabilidades en el software, sino que se oculta hábilmente detrás de la infraestructura de servicios confiables como Zoom y Microsoft Teams. Se basa en el protocolo TURN, diseñado para facilitar la comunicación en videollamadas y sesiones VoIP cuando los dispositivos están detrás de NAT o firewalls.

En lugar de utilizar canales de comunicación tradicionales, que son fácilmente detectables y bloqueables, Ghost Calls permite a los atacantes crear túneles cifrados WebRTC a través de la infraestructura de populares plataformas de videoconferencia. Esto no solo permite camuflar el tráfico como legítimo, sino también obtener acceso a canales de alta capacidad protegidos por TLS y con enrutamiento incorporado a través de servidores multimedia globales.

La esencia del método radica en el uso de credenciales TURN legítimas, emitidas automáticamente por Zoom o Teams al conectarse a una reunión. Con estas credenciales, el atacante establece un túnel WebRTC entre él y una máquina comprometida. Visualmente, este canal se presenta como una participación normal en una videollamada, lo que dificulta su detección incluso con herramientas corporativas de monitoreo.

El protocolo TURN (Traversal Using Relays around NAT) ha sido ampliamente utilizado durante años para facilitar la comunicación cuando no es posible una conexión directa. Ghost Calls se integra en este mecanismo, interceptando credenciales temporales y utilizándolas para establecer un canal de comunicación bidireccional.

Para operar, Ghost Calls utiliza la herramienta TURNt — un conjunto de dos componentes de código abierto. El Controller se ejecuta en el lado del atacante y lanza un servidor proxy SOCKS a través del cual fluye el tráfico. El Relay se ejecuta en el host comprometido y se conecta al Controller usando las credenciales TURN proporcionadas por Teams o Zoom. A través de este túnel se transmite tanto tráfico C2 como comandos de control remoto, incluyendo reenvío de puertos, transferencia encubierta de archivos e incluso acceso remoto vía VNC.

A diferencia de los canales C2 tradicionales, que suelen ser lentos, fáciles de detectar y poco adecuados para interacción en tiempo real, Ghost Calls permite una transmisión inmediata de comandos, alta estabilidad y una casi total invisibilidad. El uso de los protocolos UDP y TCP en el puerto 443 reduce aún más el riesgo de detección — toda la actividad se asemeja al tráfico habitual de videollamadas.

Se enfatiza que ni Zoom ni Microsoft Teams son vulnerados en este esquema. Simplemente proporcionan la infraestructura y credenciales necesarias, que los atacantes redirigen para sus propios fines. Esto permite ocultar completamente la infraestructura del atacante bajo la apariencia de tráfico proveniente de servicios legítimos. Este enfoque hace que Ghost Calls sea atractivo no solo para pentesters y operadores de Red Team, sino también para escenarios más agresivos.

Los especialistas de Praetorian, quienes presentaron la tecnología, afirman que Ghost Calls demuestra cuán vulnerables pueden ser incluso los canales de comunicación confiables cuando se usan de manera indebida. Aunque no existan vulnerabilidades directas, la aparición de estos esquemas exige una revisión de los enfoques actuales para la filtración y análisis del tráfico a nivel de la infraestructura corporativa.

Aún no está claro si Zoom y Microsoft tienen previsto introducir cambios que dificulten la implementación de este tipo de técnicas. Sin embargo, el simple hecho de que el tunelizado ocurra a través de dominios e IPs de confianza complica significativamente el desarrollo de medidas defensivas sin aumentar el riesgo de falsos positivos.