DragonForce missbraucht Microsoft-Teams-Relays als C2 — Go-Backdoor „Backdoor.Turn“ tarnt Traffic

Kurzfazit
Akteure der DragonForce-Ransomware verstecken ihren Command-and-Control-Verkehr in der Microsoft-Teams-Relay-Infrastruktur. Eine neue, in Go geschriebene Backdoor namens „Backdoor.Turn“ tunnelt C2-Kommunikation über legitime Teams-Server und erschwert so die netzbasierte Erkennung.
Was ist passiert?
Bedrohungsakteure, die mit der DragonForce-Ransomware in Verbindung stehen, missbrauchen laut Quellen die Microsoft-Teams-Relay-Infrastruktur zur Verschleierung ihres Command-and-Control-Verkehrs. Zum Einsatz kommt eine neue, in Go geschriebene Backdoor namens „Backdoor.Turn“, die C2-Kommunikation in legitimen Microsoft-Teams-Servern verbirgt. Indem der bösartige Datenverkehr über vertrauenswürdige Teams-Relays läuft, hebt er sich kaum vom normalen Kollaborations-Traffic ab.
Warum ist das relevant?
Die Nutzung legitimer, weit verbreiteter Dienste als C2-Kanal („Living off Trusted Services“) untergräbt netzbasierte Erkennung und Blockierlisten: Teams-Traffic ist in den meisten Organisationen erlaubt und unauffällig. In Kombination mit Ransomware bedeutet das, dass Angreifer länger unentdeckt agieren und ihre Operation bis zur Verschlüsselung vorbereiten können.
Betroffene Branchen und Technologien
Betroffen sind Organisationen, die Microsoft Teams einsetzen (Technologien network-perimeter und active-directory im Sinne der Erkennungs- und Identitätsebene). Eine branchenspezifische Eingrenzung geht aus den Quellen nicht hervor.
Priorisierungssignale
- Ransomware-Bezug (DragonForce)
- C2 über legitime Teams-Relays → schwer erkennbar
- Neue, maßgeschneiderte Go-Backdoor (Backdoor.Turn)
Defensive Empfehlungen
- Ausgehenden Teams-/Microsoft-Traffic auf anomale Muster (ungewöhnliche Hosts/Prozesse, untypische Datenmengen) prüfen statt ihn pauschal als vertrauenswürdig zu behandeln.
- Endpoint-Detection auf unbekannte Go-Binaries und Prozesse mit Netzwerkkommunikation über Teams-Infrastruktur ausrichten.
- Threat Hunting nach Indikatoren der Backdoor.Turn / DragonForce-TTPs durchführen (sobald IOCs aus den Quellen vorliegen).
- Ransomware-Resilienz prüfen: Backups, Segmentierung, Wiederanlaufpläne.
Quellenhinweise
Grundlage sind übereinstimmende Berichte von The Hacker News, SecurityWeek und BleepingComputer. Konkrete IOCs sind in den Rohdaten nicht enthalten.
Was Security-Teams jetzt prüfen sollten
- 1Ausgehenden Teams-/Microsoft-Traffic auf anomale Muster prüfen statt ihn pauschal zu vertrauen.
- 2Endpoint-Detection auf unbekannte Go-Binaries und Teams-basierte Netzkommunikation ausrichten.
- 3Threat Hunting nach Backdoor.Turn / DragonForce-TTPs durchführen (sobald IOCs vorliegen).
- 4Ransomware-Resilienz prüfen: Backups, Netzsegmentierung, Wiederanlaufpläne.
- 5Erkennungsannahme 'Teams-Traffic = vertrauenswürdig' kritisch hinterfragen.
Betroffene Technologien
Quellenhinweise
Transparenz & Redaktion
- Analyse: SecBoard Research
- Redaktionell verantwortlich: Eike Fellgiebel
- KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
- Stand: 29. Juni 2026