- Symantec confirma que los operadores de Dragonforce Ransomware utilizaron Microsoft Teams para encubrir el tráfico C2
- RAT “Backdoor.Turn” personalizado basado en Go que disfraza la actividad maliciosa como comunicación normal del equipo
- primer uso en la naturaleza de la técnica de la “llamada fantasma”; La campaña presenta artesanías altamente sofisticadas con enlaces de araña dispersos.
Los expertos advierten que los ciberdelincuentes están utilizando Microsoft Team Relay como infraestructura de comando y control (C2), mezclando tráfico malicioso con comunicaciones corporativas benignas.
En Microsoft Teams, un repetidor es un servidor que ayuda a transportar el tráfico de audio y vídeo cuando no es posible una conexión directa entre los participantes (por ejemplo, están en una red corporativa o detrás de un firewall).
Según investigadores de seguridad, en diciembre de 2025, el operador de ransomware DragonForce apuntó a una importante empresa de servicios de EE. UU., posiblemente explotando una falla desconocida en un servidor SQL o MSSQL para infiltrarse en la red de su objetivo y, entre otras cosas, implementar un malware de puerta trasera personalizado llamado ‘Backdoor’.
¿Quién es DragonForce?
Symantec dice que esta puerta trasera aprovecha el cruce utilizando retransmisiones alrededor del protocolo NAT (turno), una característica que utilizan los equipos cuando dos (o más) participantes no pueden establecer una conexión directa. De esa manera, los defensores sólo ven el tráfico de equipos que normalmente no son examinados.
Computadora pitando Dicha técnica fue demostrada por primera vez por Praetorian en 2025, quien la llamó ‘Ghost Call’, pero esta es la primera vez que alguien la usa en la naturaleza.
“Backdoor.Turn, un RAT basado en Go, es el primer malware conocido que explota el servidor de retransmisión Turn de Microsoft Teams para enmascarar el tráfico de comando y control”, dijo Symantec.
DragonForce es un grupo antiguo, según los estándares de ransomware, visto por primera vez en 2023. Está asociado con la infame organización Scattered Spider y adoptó un modelo de cartel de la droga en 2025.
Al ofrecer un modelo de afiliado de marca blanca, permite que otros utilicen su infraestructura y malware mientras promocionan los ataques con su propio nombre.
Symantec dijo que los atacantes estaban llevando a cabo la campaña “utilizando técnicas cibernéticas increíblemente sofisticadas”. Puede encontrar una lista completa de indicadores de acuerdo (IoC) en este enlace.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
