Am 16. Juni 2026 veröffentlichten Forscher von Symantec und Carbon Black (beide Broadcom) einen Bericht, der die Sicherheitsbranche aufhorchen ließ: Die Ransomware-Gruppe DragonForce hatte in einem Angriff auf ein großes US-Dienstleistungsunternehmen eine bis dahin unbekannte Technik eingesetzt. Mithilfe eines maßgeschneiderten Go-basierten Backdoors namens Backdoor.Turn leiteten die Angreifer ihren Command-and-Control-Datenverkehr (C2) durch die legitimen TURN-Relay-Server von Microsoft Teams. Für Netzwerkverteidiger waren die ausgehenden Verbindungen nicht von normalem Teams-Datenverkehr zu unterscheiden. Die Gruppe blieb damit bis zu zwei Monate unentdeckt im Netzwerk des Opfers.
Dies ist nach Angaben der Forscher der erste bekannte Fall weltweit, bei dem TURN-Relay-Infrastruktur von Microsoft auf diese Weise als Tarnkappe für Schadsoftware missbraucht wird. Der Vorfall illustriert eine gefährliche Verschiebung: Ransomware-Gruppen der nächsten Generation sind keine opportunistischen Kleinkriminellen mehr, sondern hochorganisierte Kartelle mit eigenem Werkzeugbau.
Der Angriff im Überblick: Zwei Monate unsichtbar im Netzwerk
Die erste schädliche Aktivität im Netzwerk des Opfers wurde für Dezember 2025 dokumentiert. Die Angreifer führten zunächst einen PowerShell-Befehl aus, der ein ZIP-Archiv unter dem Deckmantel eines “Tech-Support-Hotfixes” entpackte. Der eigentliche Schadcode verbarg sich in diesem scheinbar harmlosen Paket. Von diesem Moment an bewegten sich die Täter mit chirurgischer Präzision durch das Netz des Unternehmens: Erkundung, Diebstahl von Zugangsdaten, seitliche Bewegung, Anlegen neuer Administrator-Konten und Änderungen an Firewall-Regeln.
Erst nach einer Verweildauer von einem bis zwei Monaten schlugen die Angreifer zu: Sie exfiltrierten Daten und verschlüsselten schließlich die Systeme des Unternehmens mit DragonForce-Ransomware. Der Name des Opfers wurde nicht öffentlich gemacht. Ob das Unternehmen das geforderte Lösegeld bezahlte, ist laut Symantec ebenfalls nicht bekannt. Symantec schreibt den Angriff dem Bedrohungsakteur zu, den das Unternehmen intern als Hackledorb führt.
Der Angriffsvektor unterstreicht ein bekanntes Problem: Unternehmen verlassen sich zu stark auf perimeterbasierten Schutz. Sobald ein Angreifer innerhalb des Netzwerks agiert und legitime Microsoft-Infrastruktur als C2-Kanal nutzt, versagen klassische Firewall-Regeln. Die durchschnittliche Verweildauer von Angreifern in Unternehmensnetzwerken liegt laut Mandiant-Daten aus dem Jahr 2025 weltweit bei 16 Tagen. DragonForce lag in diesem Fall mit bis zu 60 Tagen erheblich darüber.
Was ist Backdoor.Turn? Technische Analyse des Go-Backdoors
Backdoor.Turn ist ein in der Programmiersprache Go (Golang) geschriebener Remote-Access-Trojaner. Go-basierte Malware hat bei Ransomware-Gruppen stark an Beliebtheit gewonnen, weil der Compiler plattformübergreifende Binärdateien erzeugt, die statischen Analysetools schwerer zu analysieren sind als C-basierte Malware.
Um keine Aufmerksamkeit zu erregen, injiziert Backdoor.Turn seinen Code in den legitimen Windows-Prozess DbgView64.exe, ein Tool aus der bekannten Sysinternals-Suite von Microsoft. Da DbgView64.exe in vielen Unternehmensumgebungen als vertrauenswürdiger Prozess gilt, passieren derartige Injektionen häufig unbemerkt. Carbon Black-Forscher beschreiben den Backdoor als “neuartig und bisher nicht dokumentiert” zum Zeitpunkt des Angriffs.
Die Kernaufgabe von Backdoor.Turn besteht darin, C2-Kommunikation so zu verschlüsseln und umzuleiten, dass sie wie normaler Microsoft-Teams-Datenverkehr aussieht. Die Sicherheitsexperten von Symantec und Carbon Black bestätigen: “This appears to be the first malware family to abuse the TURN relay infrastructure in this way” (Backdoor.Turn ist nach aktuellem Kenntnisstand die erste Malware-Familie, die TURN-Relay-Infrastruktur auf diese Weise missbraucht). Für österreichische Unternehmen, die Microsoft Teams täglich nutzen, ist dies eine ernste Warnung.
Microsoft Teams als Tarnkappe: So funktioniert der TURN-Relay-Missbrauch
Das technische Herzstück des Angriffs ist ein dreistufiger Prozess, mit dem Backdoor.Turn legitime Microsoft-Infrastruktur als Tarnung nutzt:
- Token-Beschaffung: Die Schadsoftware ruft beim Microsoft Teams- und Skype-Backend einen anonymen Besucher-Token ab. Microsoft erlaubt solche Tokens, damit externe Gäste an Teams-Meetings teilnehmen können, ohne ein Konto zu besitzen. Dieser Mechanismus ist legitim und aus nachvollziehbaren Interoperabilitätsgründen vorhanden.
- TURN-Relay-Verbindung: Mit diesem Token authentifiziert sich Backdoor.Turn gegenüber dem TURN-Relay-Server von Microsoft. TURN (Traversal Using Relays around NAT) ist ein Netzwerkprotokoll, das für Echtzeit-Kommunikation in Teams genutzt wird. Der Relay-Server leitet die Pakete weiter, ohne den eigentlichen Endpunkt preiszugeben.
- QUIC-Session zum echten C2: Nach dem Verbindungsaufbau über den legitimen Microsoft-Server etabliert die Malware eine direkte QUIC-Verbindung zum tatsächlichen, von den Angreifern kontrollierten C2-Server. QUIC ist ein modernes UDP-basiertes Protokoll, das für seine geringe Latenz bekannt ist und in vielen Unternehmens-Firewalls nicht blockiert wird.
Das Ergebnis ist aus Verteidigersicht ernüchternd: Sicherheitssoftware und Netzwerkmonitore sehen lediglich ausgehende Verbindungen zu verifizierten Microsoft-Servern. Ohne Deep-Packet-Inspection mit spezifischer Verhaltensanalyse ist der versteckte C2-Kanal nahezu unsichtbar. Symantec-Forscher warnen: Unternehmen, die Microsoft Teams in ihren Netzwerken nicht explizit segmentieren oder überwachen, sind blind für diese Art von Missbrauch.
Angriffschronologie: Von der SQL-Lücke bis zur Verschlüsselung
Die Rekonstruktion des Angriffs durch Symantec und Carbon Black zeigt einen klar strukturierten, mehrstufigen Ablauf:
| Phase | Zeitraum | Technik / Werkzeug |
|---|---|---|
| Erstzugriff | Dezember 2025 | SQL- oder MSSQL-Schwachstelle (oder Initial Access Broker) |
| Persistenz | Dezember 2025 | PowerShell, ZIP-Archiv als “Tech-Support-Hotfix” getarnt |
| C2-Einrichtung | Dezember 2025 | Backdoor.Turn in DbgView64.exe injiziert, TURN-Relay-Verbindung |
| Privilegienerweiterung | Januar 2026 | DLL-Sideloading, BYOVD, Huawei-Treiber HWAudioOs2Ec.sys |
| Defence Evasion | Januar 2026 | Abyss Worker Treiber, Havoc Process Terminator |
| Datenkompromittierung | Januar bis Februar 2026 | Laterale Bewegung, neue Admin-Konten, Firewall-Änderungen |
| Exfiltration und Verschlüsselung | Februar 2026 | DragonForce-Ransomware deployed |
Der initiale Zugang über eine SQL- oder MSSQL-Schwachstelle bleibt ungeklärt. Symantec hält es für möglich, dass die Angreifer den Zugang von einem Initial Access Broker (IAB) erworben haben. IABs sind spezialisierte Kriminelle, die Unternehmenszugänge im Darknet verkaufen. Dieser Markt ist in den Jahren 2025 und 2026 erheblich gewachsen, was die Eintrittshürde für Ransomware-Gruppen weiter senkt. Carbon Black-Threat-Hunter beschreiben das Vorgehen als typisch für einen vorbereitenden Erkundungsauftrag, bei dem auf den ersten Zugang ein wochen- bis monatelanger stiller Ausbau folgt.
BYOVD: Treiber als Waffe gegen Sicherheitssoftware
Eine der gefährlichsten Komponenten des Angriffs war der Einsatz von Bring Your Own Vulnerable Driver-Techniken (BYOVD). Dabei laden Angreifer legitime, aber verwundbare Treiber auf ein System, um mit deren erhöhten Kernelrechten Sicherheitssoftware zu deaktivieren. Die Technik ist nicht neu, aber DragonForce setzt sie in einer Breite und Tiefe ein, die auf einen professionellen Werkzeugkasten hindeutet.
DragonForce nutzte in diesem Angriff mehrere Treiber gleichzeitig:
- HWAudioOs2Ec.sys (Huawei-Audiotreiber): Der Treiber enthielt eine Sicherheitslücke, die zum Zeitpunkt des Angriffs noch nicht öffentlich bekannt war. Erst im März 2026 dokumentierte das Sicherheitsunternehmen Huntress diese Schwachstelle. Dies zeigt, dass DragonForce entweder über Vorabkenntnisse oder eigene Exploit-Entwicklungskapazitäten verfügt.
- Abyss Worker: Ein bösartiger Treiber, der als Komponente von Palo Alto Networks getarnt war. Das Vertrauen, das Sicherheitsprodukte von namhaften Herstellern wie Palo Alto genießen, wird hier aktiv als Angriffsfläche genutzt.
- Havoc Process Terminator: Ein weiteres Werkzeug, das gezielt Sicherheitsprozesse beendet und damit die Erkennung der eigentlichen Ransomware-Payload verhindert.
Dick O’Brien, leitender Analyst bei Symantecs Threat Hunter Team, erklärt: “The use of BYOVD techniques alongside a novel Teams-abusing backdoor suggests DragonForce has invested significantly in custom offensive tooling. This is no longer a commodity ransomware group.” (sinngemäß: Die Kombination aus BYOVD und dem neuartigen Teams-Backdoor zeigt, dass DragonForce erheblich in eigene Angriffswerkzeuge investiert hat. Diese Gruppe ist keine Commodity-Ransomware mehr.)
CVE-2023-52271, CVE-2025-61155 und CVE-2025-1055: Die ausgenutzten Lücken
Drei öffentlich bekannte CVEs wurden im Rahmen der BYOVD-Taktik ausgenutzt. Die Palette verdeutlicht, wie breit DragonForce aufgestellt ist:
| CVE | Betroffenes Produkt | Betroffener Treiber | Missbrauchszweck |
|---|---|---|---|
| CVE-2023-52271 | Topaz Antifraud | wsftprm.sys | Kernelrechte, Sicherheitssoftware deaktivieren |
| CVE-2025-61155 | Tower of Fantasy (Spielclient) | Gamedriverx64.sys | Kernelrechte, Prozessschutz umgehen |
| CVE-2025-1055 | K7 Security Anti-Malware | nicht spezifiziert | Kernelrechte, Antivirus-Deaktivierung |
| Ohne CVE (0-day) | Huawei-Audiotreiber | HWAudioOs2Ec.sys | Kernelrechte (Lücke erst März 2026 publik) |
Besonders bemerkenswert ist CVE-2025-61155, eine Schwachstelle im Treiber des Online-Spiels Tower of Fantasy. Spieleclients stehen auf Unternehmensservern normalerweise nicht zur Verfügung, aber Angreifer bringen den anfälligen Treiber selbst mit. Das illustriert einen grundlegenden Wandel: Jeder unterzeichnete Treiber mit Kernelprivilegien und einer bekannten Lücke ist potenziell eine Waffe.
Lior Div, Mitgründer von Cybereason, kommentierte ähnliche BYOVD-Wellen in seinem Bedrohungsbericht für Q1 2026: “Ransomware operators now maintain curated driver libraries. When Microsoft patches one, they rotate to the next. It’s an arms race enterprises cannot win through patching alone.” (sinngemäß: Ransomware-Betreiber pflegen Bibliotheken anfälliger Treiber. Wenn Microsoft einen patcht, rotieren sie zum nächsten. Das ist ein Rüstungswettlauf, den Unternehmen allein durch Patchen nicht gewinnen können.)
DragonForce: Vom RaaS-Modell zum Kartell
DragonForce ist seit mindestens Juni 2023 aktiv. In dieser Zeit hat die Gruppe eine bemerkenswerte Entwicklung durchlaufen. Symantec beschreibt die aktuelle Phase als Übergang von einem klassischen Ransomware-as-a-Service-Modell (RaaS) zu einer “hochorganisierten, formalisierten Kartellstruktur”.
Was bedeutet das konkret? Bei klassischem RaaS entwickelt eine Kerngruppe die Ransomware und stellt sie anderen Kriminellen (“Affiliates”) gegen eine Beteiligung von typischerweise 20 bis 30 Prozent des Lösegelds zur Verfügung. DragonForce geht darüber hinaus: Das Kartell koordiniert den Einsatz spezifischer Werkzeuge, kontrolliert Kommunikationskanäle und hält Affiliates zu bestimmten operativen Standards an. Dieser Grad an Professionalisierung reduziert operative Fehler und erhöht die Erfolgsquote bei Angriffen erheblich.
SC World berichtet zudem über eine Verbindung zur Scattered Spider-Bedrohungsgruppe. Scattered Spider ist für Social-Engineering-Angriffe bekannt und hat mehrere hochkarätige Ziele in der Casino-, Hotel- und Einzelhandelsbranche getroffen. Eine operative Kooperation zwischen DragonForce und Scattered Spider würde erklären, wie die Gruppe an die anfänglichen Zugangsdaten für das kompromittierte Netzwerk gelangte, ohne selbst einen technischen Exploit anwenden zu müssen.
Vergleich: DragonForce und andere führende Ransomware-Kartelle 2026
Um einzuordnen, wie DragonForce im aktuellen Bedrohungsumfeld positioniert ist, hilft ein Vergleich mit anderen aktiven Ransomware-Gruppen:
| Gruppe | Aktiv seit | Modell | Bekannteste Spezialität | Status (Juni 2026) |
|---|---|---|---|---|
| DragonForce | Juni 2023 | Kartell | Benutzerdefinierte Tools, BYOVD, Teams-Missbrauch | Hochaktiv |
| LockBit | 2019 | RaaS | Hohe Bandbreite, Datenleck-Site | Geschwächt (Strafverfolgungsmaßnahmen 2024) |
| ALPHV / BlackCat | 2021 | RaaS | Go-basierte Ransomware, Windows und Linux | Aufgelöst (FBI-Aktion Dezember 2023) |
| Akira | 2023 | RaaS | VMware ESXi, NAS-Geräte | Aktiv |
| RansomHub | 2024 | RaaS | Schnell wachsende Affiliate-Basis | Hochaktiv |
| Nitrogen | 2024 | RaaS | Supply-Chain, Großvolumen-Exfiltration | Aktiv |
DragonForce hat einen klaren Vorteil gegenüber den geschwächten Altgruppen: Während LockBit und ALPHV/BlackCat durch koordinierte Strafverfolgungsaktionen erheblich getroffen wurden, hat DragonForce seinen Betrieb ohne bekannte direkte Gegenmaßnahmen ausgebaut. Die Symantec-Bewertung, die Gruppe befinde sich in einer Übergangsphase zu einem Kartell, deutet auf strukturelle Stabilität hin, die kurzfristige Strafverfolgungsschläge überstehen kann. Für Sicherheitsverantwortliche bedeutet das: DragonForce wird nicht morgen verschwinden.
Österreich im Fokus: Warum dieser Angriff auch heimische Unternehmen betrifft
Der unmittelbar bekannte Fall betrifft ein US-Unternehmen. Österreichische Firmen und Organisationen sollten dennoch aus mehreren konkreten Gründen aufhorchen.
Laut der US-amerikanischen International Trade Administration erfahren 14 Prozent der österreichischen Unternehmen täglich Cyberangriffe (Daten aus dem Jahr 2024). Österreich ist dabei kein Sonderfall, sondern ein integral verwobenes Glied der europäischen Unternehmenslandschaft, die dieselben cloudbasierten Kollaborationstools nutzt. Microsoft Teams ist in österreichischen Unternehmen, Behörden, Schulen und Krankenhäusern flächendeckend im Einsatz.
Das World Economic Forum hält in seinem Global Cybersecurity Outlook 2026 fest, dass Cybersicherheitsrisiken durch KI-Fortschritte, geopolitische Fragmentierung und Lieferkettenkomplexität weiter zunehmen. 30 Prozent der CEOs weltweit nennen Datenlecks im Zusammenhang mit KI als größte Sicherheitsbedrohung, 28 Prozent verweisen auf den Ausbau gegnerischer Kapazitäten. Beides trifft auf DragonForce zu.
Hinzu kommt der österreichische und europäische Rechtsrahmen: Unternehmen, die unter die NIS2-Richtlinie fallen, sind verpflichtet, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden zu melden. Ein Backdoor, der bis zu zwei Monate lang unentdeckt bleibt und C2-Verkehr als Teams-Traffic tarnt, macht diese Frist faktisch unmöglich einzuhalten. Die Konsequenz: erhebliche Bußgelder zusätzlich zum Schaden durch die Ransomware-Verschlüsselung. Bei einem mittelgroßen österreichischen Unternehmen könnten allein die NIS2-Strafen im einstelligen Millionenbereich liegen.
Erkennungsstrategien: Wie Verteidiger auf Backdoor.Turn reagieren
Symantec und Carbon Black haben Indicators of Compromise (IOCs) veröffentlicht, um Verteidigern die Erkennung zu ermöglichen. Folgende Maßnahmen sind besonders relevant:
- TURN-Relay-Monitoring: Ausgehende TURN-Verbindungen zu Microsoft-Servern, die nicht mit aktiven Teams-Meetings korrelieren, sollten als anomal markiert werden. Unternehmen sollten QUIC-Traffic (UDP Port 443) gesondert analysieren.
- Prozessüberwachung: Ungewöhnliche Netzwerkaktivität von DbgView64.exe oder anderen Sysinternals-Prozessen ist ein starkes Warnsignal. Sysinternals-Tools haben in Produktionsumgebungen normalerweise keinen Netzwerkbedarf.
- Treiber-Audit: Regelmäßige Überprüfung geladener Treiber auf bekannte anfällige Versionen. Die CVEs CVE-2023-52271, CVE-2025-61155 und CVE-2025-1055 sollten in EDR-Erkennungsregeln hinterlegt sein.
- Token-Anomalieerkennung: Systeme, die Microsoft-Teams-Visitor-Tokens abrufen, ohne eine aktive Teams-Anwendung zu betreiben, verhalten sich anomal und sollten sofort untersucht werden.
- Netzwerksegmentierung: Teams-Datenverkehr sollte auf dedizierte Endpunkte und Arbeitsplätze beschränkt sein. Server ohne aktiven Teams-Client sollten keinen ausgehenden TURN-Datenverkehr erzeugen dürfen.
Kevin Beaumont, unabhängiger Sicherheitsforscher und ehemaliger Microsoft-Analyst, schrieb im Juni 2026 auf seinem Blog: “The Teams relay abuse is clever because it weaponises Microsoft’s own NAT traversal infrastructure. Until Microsoft rearchitects how anonymous tokens work, blocking this without breaking Teams for legitimate guests is non-trivial.” (sinngemäß: Der TURN-Relay-Missbrauch ist clever, weil er Microsofts eigene NAT-Traversal-Infrastruktur als Waffe nutzt. Bis Microsoft die Art, wie anonyme Tokens funktionieren, grundlegend überarbeitet, ist es nicht einfach, dies zu blockieren, ohne Teams für legitime Gäste zu stören.)
Microsofts Reaktion und die offene Frage der Token-Sicherheit
Zum Zeitpunkt der Veröffentlichung dieses Artikels hat Microsoft keine offizielle Stellungnahme zur Nutzung seiner TURN-Relay-Infrastruktur durch DragonForce herausgegeben. Das wirft eine fundamentale Frage auf: Ist ein anonymer Visitor-Token ein Feature oder eine Schwachstelle?
Microsoft hat aus Gründen der Interoperabilität bewusst entschieden, dass externe Teilnehmer ohne vollständiges Microsoft-Konto an Teams-Meetings teilnehmen können. Diese Offenheit ist gleichzeitig der Angriffspunkt. Ähnliche Situationen hat Microsoft in der Vergangenheit mit zeitverzögerter Reaktion gehandhabt. Im Fall der Storm-0558-Gruppe, die 2023 Microsoft-Exchange-Online-Zugriffstoken fälschte, dauerte es mehrere Wochen, bis Microsoft transparente technische Informationen veröffentlichte.
Langfristig ist wahrscheinlich, dass Microsoft das Token-Ausstellungsmodell für anonyme Teams-Besucher einschränkt oder mit zusätzlicher Ratenbegrenzung und Kontext-Validierung versieht. Kurzfristig sind Unternehmen auf eigene Erkennungsmaßnahmen und Netzwerksegmentierung angewiesen. Sicherheitsverantwortliche sollten die offiziellen Microsoft-365-Sicherheits-Updates und das Microsoft Security Response Center aktiv überwachen.
DragonForce und der Einzelhandel: Historischer Kontext
Dieser Angriff auf ein US-Dienstleistungsunternehmen steht nicht isoliert. DragonForce hat in den Monaten zuvor bereits mehrere hochkarätige Ziele beansprucht. Der bekannteste Fall betrifft den britischen Einzelhändler Marks & Spencer: Der Angriff verursachte Schäden von über 300 Millionen Pfund und legte Online-Bestellsysteme tagelang lahm. Co-op Food und das Luxuskaufhaus Harrods waren ebenfalls betroffen. Die britische Regierung bezeichnete diese Angriffsserie als einen der schwersten auf den britischen Einzelhandel.
Die Bandbreite der DragonForce-Ziele, von britischen Einzelhändlern bis zu US-Dienstleistern, zeigt, dass die Gruppe opportunistisch und sektorneutral agiert. Das verbindende Element ist nicht die Branche, sondern die Ausnutzung moderner Unternehmensinfrastruktur. Die Botschaft für Sicherheitsverantwortliche lautet: Vertrautheit mit einer Technologie schützt nicht vor ihrer Ausnutzung.
Prognosen: Was als nächstes kommt
Auf Basis der Symantec-Analyse und der aktuellen Bedrohungslandschaft lassen sich vier belastbare Prognosen formulieren:
- Nachahmung durch andere Gruppen (6 bis 12 Monate): Die TURN-Relay-Technik wird von anderen Ransomware-Gruppen kopiert. Neu veröffentlichte Angriffsmethoden verbreiten sich im kriminellen Ökosystem schnell. Sicherheitsteams sollten Teams-bezogene IOC-Regeln jetzt implementieren.
- Microsoft-Gegenmaßnahmen im Herbst 2026: Microsoft wird das Ausstellungsmodell für anonyme Visitor-Tokens einschränken oder mit zusätzlicher Validierung versehen. Auf entsprechende Updates in den Microsoft-365-Changelogs und im Microsoft Security Response Center sollte geachtet werden.
- BYOVD-Eskalation mit neuen Treibern: Die Kombination aus Teams-Backdoor und BYOVD-Treibern weist auf eine Spezialisierung hin. Weitere anfällige Treiber werden in DragonForce-Angriffe integriert, sobald gängige CVEs gepatcht sind und auf Beobachtungslisten erscheinen.
- Ausdehnung nach Europa: Nachdem US-Opfer stärker unter dem Druck von FBI und CISA stehen, werden europäische Ziele mit weniger ausgereifter EDR-Abdeckung attraktiver. Österreichische Mittelständler und Behörden mit Teams-Deployments sollten sich als potenzielle Ziele einschätzen und die empfohlenen Erkennungsmaßnahmen priorisieren.
Verwandte Berichte
Weiterführende Informationen zu verwandten Bedrohungen und Sicherheitsthemen auf shattered.io:
- DragonForce: Der £300-Mio.-M&S-Angriff und seine Folgen für den Handel
- Foxconn-Hack: Nitrogen stiehlt 8 TB, Apple- und Nvidia-Daten enthüllt
- Ransomware-Gruppen steigen um 49 Prozent: 8.159 Opfer in 2025
- Stryker-Hack: 200.000 Geräte gelöscht, 50 TB weg
- ClickFix-Kampagne: 250 WordPress-Sites gekapert, 12 Länder betroffen
FAQ: DragonForce und Backdoor.Turn
Was ist Backdoor.Turn?
Backdoor.Turn ist ein in Go geschriebener Remote-Access-Trojaner, den die Ransomware-Gruppe DragonForce in einem Angriff auf ein US-Dienstleistungsunternehmen eingesetzt hat. Er verbirgt seinen C2-Datenverkehr hinter legitimen Microsoft-Teams-Verbindungen und ist nach Angaben von Symantec die erste bekannte Malware, die Microsoft-TURN-Relay-Server auf diese Weise missbraucht.
Was ist ein TURN-Relay-Server?
TURN steht für Traversal Using Relays around NAT. TURN-Server leiten Echtzeit-Kommunikation (Audio, Video, Daten) durch einen Vermittlungsserver, wenn eine direkte Verbindung zwischen zwei Endpunkten nicht möglich ist. Microsoft betreibt solche Server als Teil der Teams-Infrastruktur. DragonForce missbraucht diese Server, um C2-Befehle als harmloser Teams-Verkehr erscheinen zu lassen.
Wie lange blieb der Angreifer unentdeckt?
Laut Symantec und Carbon Black verblieb der Angreifer zwischen einem und zwei Monaten im Netzwerk des Opfers. Die erste schädliche Aktivität wurde für Dezember 2025 dokumentiert. Die Verschlüsselung erfolgte erst nach abgeschlossener Datenexfiltration.
Welche CVEs wurden in diesem Angriff ausgenutzt?
Die Forscher dokumentierten drei ausgenutzte CVEs: CVE-2023-52271 (Topaz-Antifraud-Treiber), CVE-2025-61155 (Tower-of-Fantasy-Spieltreiber) und CVE-2025-1055 (K7 Security Anti-Malware). Alle drei wurden für BYOVD-Techniken genutzt, um Kernelrechte zu erlangen und Sicherheitssoftware zu deaktivieren. Zusätzlich wurde ein zum Angriffszeitpunkt noch unveröffentlichter Bug im Huawei-Audiotreiber HWAudioOs2Ec.sys ausgenutzt.
Was ist BYOVD?
BYOVD (Bring Your Own Vulnerable Driver) ist eine Angriffstechnik, bei der Angreifer einen legitimen, aber anfälligen Treiber auf das Zielsystem laden. Da der Treiber signiert und legitim ist, akzeptiert Windows ihn. Durch eine bekannte Schwachstelle im Treiber erlangen die Angreifer dann Kernelrechte und können Sicherheitssoftware deaktivieren, bevor die eigentliche Ransomware ausgerollt wird.
Sind österreichische Unternehmen gefährdet?
Ja, direkt. Microsoft Teams ist in österreichischen Unternehmen und Behörden weit verbreitet. Da Backdoor.Turn Teams-Relay-Infrastruktur missbraucht, die in österreichischen Netzwerken standardmäßig zugelassen ist, können bestehende Firewallregeln diese C2-Kommunikation nicht blockieren, ohne gleichzeitig Teams zu stören. Unternehmen unter NIS2 sind zudem verpflichtet, Vorfälle innerhalb von 24 Stunden zu melden. Ein Backdoor mit bis zu zwei Monaten Verweildauer macht diese Frist faktisch unmöglich einzuhalten.
Was hat Microsoft zu diesem Missbrauch gesagt?
Zum Zeitpunkt der Veröffentlichung (Juni 2026) hat Microsoft keine öffentliche Stellungnahme zu diesem spezifischen Vorfall herausgegeben. Das Unternehmen hat anonyme Teams-Visitor-Tokens als bewusstes Design-Merkmal für Interoperabilität eingeführt. Eine Überarbeitung dieses Mechanismus ist langfristig wahrscheinlich. Kurzfristig sind Unternehmen auf eigene Erkennungsmaßnahmen und aktive Überwachung ihrer Teams-Umgebung angewiesen.
Weiterführende Quellen: SecurityWeek: DragonForce Teams-Relay-Angriff | The Hacker News: Backdoor.Turn-Analyse | Infosecurity Magazine: DragonForce ausführliche Fallstudie | HackRead: Technische Details Backdoor.Turn
