«Nada sospechoso, solo Teams»: cibercriminales ocultaron el control de un virus entre chats y correos laborales
Detectan primer caso de uso de la infraestructura de Microsoft Teams para ocultar el control de malware
Los hackers encontraron una manera de ocultar la comunicación con una red comprometida donde menos se espera: detrás de las conexiones habituales a Microsoft Teams. Symantec describió el ataque DragonForce contra una gran empresa de servicios estadounidense, donde el nuevo módulo Backdoor.Turn ayudó a los atacantes a ocultar cómo controlaban el malware detrás de la infraestructura legítima de Microsoft.
Según los datos de Symantec, los atacantes estuvieron en la red entre uno y dos meses. Para la comunicación encubierta usaron el nuevo módulo remoto Backdoor.Turn, escrito en Go. El malware obtenía un token de invitado anónimo de Microsoft Teams a través de los servicios de identidad de Skype, se conectaba a servidores legítimos de retransmisión TURN de Microsoft y luego establecía una sesión QUIC con el servidor real de mando de los atacantes.
Los especialistas de Symantec consideran que este es el primer caso conocido en el que un malware en un ataque real utilizó la infraestructura TURN de Microsoft Teams de esta manera. Para los defensores, el tráfico parecía un simple tráfico saliente hacia Microsoft, aunque por ese mecanismo los atacantes mantenían un canal oculto de mando y control.
El acceso inicial, según una versión preliminar, se obtuvo a través de una vulnerabilidad en un servidor SQL o MSSQL, pero la brecha concreta aún se desconoce. Tampoco se descarta que el acceso se comprara a intermediarios. La actividad comenzó en diciembre de 2025. Tras acceder a la red, los hackers subieron un archivo ZIP con un ejecutable legítimo de VirtualBox o DbgView y una biblioteca maliciosa vboxrt.dll. Esa técnica permitía que un programa de confianza ejecutara código ajeno.
Los atacantes se afianzaron en el sistema, modificaron la configuración de acceso remoto, añadieron usuarios y grupos, y ajustaron las reglas del cortafuegos para que la comunicación con sus servidores no quedara bloqueada. Para eludir las defensas se aplicó la técnica de “trae tu propio controlador vulnerable”. Los hackers usaron controladores firmados pero vulnerables para obtener acceso a nivel del núcleo y terminar procesos de programas de seguridad.
Symantec prestó especial atención al controlador Huawei HWAuidoOs2Ec.sys. Antes de este ataque no se conocía su uso en intrusiones reales, aunque más tarde, en marzo de 2026, especialistas de Huntress describieron su estado vulnerable. En la campaña también aparecieron controladores vulnerables Topaz Antifraud, Tower of Fantasy y K7 Security Anti-Malware, así como el controlador malicioso Abyss Worker, camuflado como un componente legítimo de Palo Alto.
Tras realizar el reconocimiento y desactivar los mecanismos de defensa, el grupo desplegó DragonForce, robó datos y cifró los sistemas de la víctima. Backdoor.Turn, por la secuencia del ataque, se instaló después de que se ejecutara el cifrador. Ese paso puede indicar la intención de mantener el acceso para volver a entrar en el sistema o venderlo a otros atacantes.
Backdoor.Turn puede ejecutar comandos, iniciar procesos, escanear la red, recopilar información sobre certificados TLS y encabezados de páginas web, buscar datos en LDAP y Active Directory, moverse por la red con credenciales robadas y extraer contraseñas de navegadores en dispositivos infectados.
Symantec vincula DragonForce con el grupo Hackledorb. Según la compañía, el proyecto, activo al menos desde junio de 2023, pasó de un modelo típico de “ransomware como servicio” a una estructura más organizada. Backdoor.Turn y varias técnicas para eludir defensas mediante controladores indican que los operadores de DragonForce aumentaron notablemente sus capacidades técnicas después de 2025.