Microsoft Teams acaba de aparecer en el centro de una nueva alerta de ciberseguridad. Investigadores de Symantec y Carbon Black reportaron que atacantes vinculados al ransomware DragonForce usaron una técnica sofisticada para ocultar tráfico malicioso dentro de conexiones aparentemente legítimas de Microsoft Teams.
El malware identificado como Backdoor.Turn fue utilizado en un ataque contra una importante firma de servicios en Estados Unidos. Según los reportes, los atacantes habrían logrado permanecer dentro de la red durante hasta dos meses, disfrazando sus comunicaciones de comando y control como tráfico normal asociado a Teams.
La clave del ataque está en el camuflaje. En lugar de comunicarse directamente con servidores sospechosos, Backdoor.Turn aprovechaba infraestructura legítima relacionada con Microsoft Teams, haciendo que para muchas herramientas de seguridad el tráfico pareciera actividad corporativa normal. SecurityWeek indica que el malware está escrito en Go y que, según los investigadores, sería el primer caso conocido de una familia de malware abusando de esta infraestructura de relays TURN de esta forma.
Pero eso no fue todo. Los atacantes también habrían usado tácticas BYOVD, es decir, “Bring Your Own Vulnerable Driver”, una técnica en la que se aprovechan controladores legítimos pero vulnerables para intentar desactivar procesos de seguridad y ganar mayor control del sistema.
El caso preocupa porque muestra una evolución clara del ransomware moderno: ya no se trata solo de cifrar archivos y pedir rescate. Ahora los atacantes buscan mezclarse con servicios confiables, abusar de plataformas empresariales y reducir al máximo las señales visibles para los equipos defensivos.
DragonForce, activo desde 2023, ha sido descrito como un grupo que opera bajo un modelo tipo ransomware-as-a-service, permitiendo que afiliados utilicen su infraestructura para ejecutar ataques.
En pocas palabras: los servicios en la nube que usamos todos los días también pueden convertirse en una cortina de humo para ataques avanzados. Y este caso deja una advertencia clara para las empresas: confiar en que el tráfico viene de una plataforma conocida ya no es suficiente.
.png)
.png)
.png)
.png)
.png)