La banda de ransomware DragonForce está usando la infraestructura de relays de Microsoft Teams para esconder su tráfico de comando y control (C2), según reveló el equipo de Symantec (Carbon Black Threat Hunter) a mediados de junio de 2026. El malware a medida, bautizado Backdoor.Turn, hace pasar sus comunicaciones por servidores legítimos de Teams para que, ante los ojos de los defensores, todo parezca tráfico normal hacia dominios confiables de Microsoft.
Cómo se camufla el tráfico malicioso
Backdoor.Turn —un troyano de acceso remoto escrito en Go— obtiene un token anónimo de «visitante» de Teams de los servicios de identidad de Microsoft, sin necesidad de autenticarse ni comprometer una cuenta. Con ese token aprovecha los servidores TURN que Teams usa para retransmitir comunicaciones en tiempo real y, a través de ellos, levanta sesiones QUIC contra los servidores del atacante. El resultado: el C2 viaja cifrado con TLS hacia infraestructura de Microsoft, mezclado con el establecimiento de conexiones legítimas de Teams.
Symantec lo resume con crudeza: los productos de seguridad «solo ven tráfico de C&C yendo a servidores legítimos de Teams, dejando a los defensores sin advertir que los datos están siendo sustraídos». Es, según los investigadores, el primer abuso operativo documentado de relays TURN para C2 en un ataque real; antes solo existía como concepto de laboratorio.
Qué hace el backdoor y cómo entró
Una vez dentro, Backdoor.Turn permite ejecutar comandos en remoto, moverse lateralmente con credenciales de Active Directory/LDAP robadas, extraer contraseñas guardadas en navegadores y hacer reconocimiento de red. En el caso analizado —una gran empresa de servicios de Estados Unidos— los atacantes obtuvieron acceso inicial a fines de 2025 explotando una vulnerabilidad en un servidor de base de datos, y recién después de desplegar el ransomware inyectaron el backdoor, una señal de que buscaban persistencia para volver a entrar más adelante. Estuvieron dentro entre uno y dos meses sin ser detectados.
DragonForce opera como ransomware-as-a-service desde 2023 y se lo ha vinculado al ecosistema de Scattered Spider. Lo distintivo de este episodio no es el grupo, sino la técnica: convertir una herramienta corporativa de confianza en el canal de salida de los datos.
Cuando la herramienta confiable es el problema
El caso plantea un desafío incómodo para cualquier organización que vive en Teams: el monitoreo de red tradicional, que confía en el destino del tráfico, queda ciego cuando el destino es Microsoft. La recomendación de los investigadores apunta a sumar detección de comportamiento —tokens de Teams solicitados desde sistemas inesperados, procesos sospechosos en Go, sesiones QUIC anómalas— y a revisar movimientos laterales en los logs de Active Directory. ¿Tu equipo ya contempla el tráfico hacia servicios SaaS confiables como una posible vía de exfiltración, o sigue asumiendo que «si va a Microsoft, está bien»? Te leemos en los comentarios.
Fuentes
- Symantec / Broadcom — Hidden in Teams: DragonForce attackers weaponize Microsoft Teams relays (investigación original)
- BleepingComputer — Ransomware gang abuses Microsoft Teams relays to hide malicious traffic
- Help Net Security — Cybercriminals mask malicious communications through Microsoft Teams relays
