🎯 Contexte

Source : Symantec (security.com), publiée le 16 juin 2026. L’article rapporte une attaque ransomware menée par le groupe DragonForce contre une grande entreprise de services américaine, avec une présence sur le réseau estimée entre un et deux mois.

🛠️ Technique d’attaque principale

Les attaquants ont utilisé un backdoor personnalisé baptisé Backdoor.Turn, développé en Go, qui constitue selon Symantec la première utilisation connue de l’infrastructure TURN de Microsoft Teams pour masquer du trafic C2 dans la nature.

Le fonctionnement de Backdoor.Turn repose sur trois étapes :

  • Obtention d’un token visiteur Teams anonyme via les services d’identité Skype/Microsoft
  • Utilisation d’un relais TURN légitime de Microsoft pour établir la connexion
  • Établissement d’une session QUIC vers le véritable serveur C2 de l’attaquant

Du point de vue des défenseurs réseau, le trafic sortant était indiscernable de connexions légitimes vers des serveurs Microsoft Teams.

🔓 Vulnérabilité exploitée

Les attaquants ont également exploité une vulnérabilité inconnue (zero-day) dans un driver Huawei, dont les détails ne sont pas précisés dans l’article.

📌 Particularités notables

  • Il est rare que des groupes ransomware développent leurs propres outils personnalisés
  • Backdoor.Turn est décrit comme un outil particulièrement sophistiqué pour ce type d’acteur
  • Le groupe DragonForce est explicitement associé à cette campagne

📄 Nature de l’article

Il s’agit d’une analyse technique de menace publiée par Symantec, visant à documenter une nouvelle technique d’évasion C2 et à alerter les défenseurs sur l’abus de l’infrastructure légitime Microsoft Teams.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1090.004 — Proxy: Domain Fronting (Command and Control)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1036 — Masquerading (Defense Evasion)

Malware / Outils

  • Backdoor.Turn (backdoor)
  • DragonForce (ransomware)

🔴 Indice de vérification factuelle : 30/100 (basse)

  • ⬜ security.com — source non référencée (0pts)
  • ✅ 1255 chars — texte partiel (10pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : DragonForce (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.security.com/threat-intelligence/dragonforce-msteams-backdoor

🖴 Archive : https://web.archive.org/web/20260618070215/https://www.security.com/threat-intelligence/dragonforce-msteams-backdoor