Se ha emitido una alerta de ciberseguridad tras la divulgación de una sofisticada campaña ofensiva perpetrada por el grupo de ransomware DragonForce. Las investigaciones revelan que los atacantes lograron infiltrarse y permanecer ocultos en la red de una importante organización durante al menos dos meses. Para lograr este nivel de sigilo, el grupo utilizó una táctica de evasión avanzada: abusar de los servidores legítimos de retransmisión (TURN) de Microsoft Teams para enmascarar todo su tráfico de Comando y Control (C2), logrando exfiltrar datos y cifrar la infraestructura sin levantar sospechas perimetrales.
Veredicto Analítico
- Estado: Confirmado (Táctica de evasión documentada en incidentes reales de ransomware en 2025/2026).
- Confianza: Alta (Respaldado por el análisis de telemetría forense y el descubrimiento de la herramienta Backdoor.Turn).
- Riesgo para SOC TDIR: Crítico. Al canalizar el tráfico C2 a través de los rangos de direcciones IP y dominios legítimos de Microsoft Teams (una aplicación autorizada y altamente traficada en entornos corporativos), los atacantes evaden casi por completo las detecciones tradicionales basadas en reputación de red y análisis de listas de bloqueo (DNS/IP).
- Urgencia operativa: Alta. Es necesario actualizar los enfoques de detección, ya que la confianza ciega en la infraestructura en la nube de proveedores tecnológicos principales (como Microsoft, Google o AWS) está siendo explotada masivamente (Living off the Cloud).
- Base del veredicto: El despliegue de un troyano personalizado en lenguaje Go que forja tokens de acceso de visitante de Skype/Teams para interactuar de forma legítima con la infraestructura nativa de Microsoft y encapsular sesiones QUIC.
Hallazgos Clave
- Componente y Táctica Afectada: Infraestructura de retransmisión TURN (Traversal Using Relays around NAT) utilizada por el backend de Microsoft Teams y los servicios de identidad de Skype.
- Malware Principal: Backdoor.Turn, un troyano de acceso remoto (RAT) basado en Go, desarrollado específicamente para esta operación. Posee capacidades de ejecución de comandos, escaneo de red, robo de credenciales de navegadores y facilitación de movimiento lateral.
- Vector de Acceso Inicial: Aunque la atribución exacta varía, la evidencia forense sugiere que el acceso inicial se obtuvo explotando vulnerabilidades en servidores SQL / MSSQL expuestos o mediante la compra del acceso a un corredor de acceso inicial (IAB).
- Persistencia y Elevación: Los atacantes utilizaron técnicas de DLL Hijacking contra procesos confiables (como la aplicación VirtualBox) para ejecutar su código malicioso con privilegios altos, modificando además las reglas del firewall local y abusando de configuraciones del sistema (como LimitBlankPassword) para retener el control.
Análisis Técnico
- Mecanismo de Evasión (C2 por Relé): Una vez ejecutado en el sistema víctima, el Backdoor.Turn se comunica primero con el backend de Microsoft/Skype para solicitar un token de visitante anónimo de Teams. Al obtener este token válido, el malware se conecta a los servidores TURN de Microsoft. En lugar de comunicarse directamente con el servidor del atacante (lo que generaría una alerta en el firewall), el backdoor establece una sesión QUIC a través del relé de Microsoft. El servidor TURN, de forma legítima, reenvía el tráfico hacia el C2 del atacante.
- Efecto de “Ceguera” en Herramientas de Seguridad: Para cualquier solución EDR, NGFW o sistema de inspección de red, el tráfico de red de la estación comprometida parece ser una comunicación estándar hacia dominios y direcciones IP corporativas de Microsoft Teams. La encapsulación de la carga útil maliciosa impide la inspección profunda de paquetes.
TTPs (MITRE ATT&CK):
- Comando y Control (C2): Uso de servicios web legítimos y encapsulamiento de tráfico (Web Service / Protocol Tunneling).
- Evasión de Defensas: Secuestro del orden de búsqueda de bibliotecas dinámicas (Hijack Execution Flow: DLL Search Order Hijacking).
- Persistencia: Creación y modificación de cuentas locales (Create Account: Local Account).
Recomendaciones Operativas
Para Administradores de Red / Infraestructura (Acción Inmediata)
- Revisión de Políticas de Confianza Ciega: Evaluar las reglas de omisión de inspección SSL/TLS (Bypass) en los firewalls perimetrales. A menudo, las organizaciones eximen a los servicios de Office 365 y Teams de la inspección profunda para mejorar el rendimiento. Es necesario implementar controles compensatorios o limitar estas exenciones únicamente a los ejecutables firmados legítimamente.
- Auditoría de MS SQL y Servicios Expuestos: Cerrar inmediatamente cualquier exposición de bases de datos MSSQL/SQL hacia Internet y forzar la aplicación de parches pendientes y autenticación robusta, dado que este fue el punto de apoyo inicial de la cadena de compromiso.
Para el SOC (Monitoreo y Detección)
- Monitoreo de Anomalías en Tráfico de Teams: Configurar el SIEM para correlacionar los registros de red con la telemetría de los endpoints. Emitir alertas si procesos no estándar (cualquier binario que no sea el teams.exe o ms-teams.exe legítimo y verificado por firma) intentan resolver o conectarse a los rangos de red de retransmisión TURN de Skype/Teams.
- Cacería de Comportamientos de Persistencia: Vigilar activamente los registros de eventos de Windows en busca de cambios en políticas de seguridad como la habilitación o modificación del valor de registro LimitBlankPassword, la creación anómala de usuarios locales y modificaciones inesperadas a las reglas del Firewall de Windows Defender que permitan puertos atípicos.
Para CTI (Inteligencia de Amenazas)
- Seguimiento de Evolución de C2: Actualizar los modelos de inteligencia para reflejar el uso creciente de los servidores TURN de Microsoft, Discord y Telegram como proxies de tráfico. Los analistas deben recopilar y diseminar indicadores (como hashes del Backdoor.Turn o nombres de procesos involucrados en el DLL Hijacking de VirtualBox) hacia el equipo de detección de incidentes.
