{"id":147,"date":"2026-06-20T04:17:55","date_gmt":"2026-06-20T04:17:55","guid":{"rendered":"https:\/\/shattered.io\/at\/2026\/06\/20\/dragonforce-backdoor-turn-microsoft-teams-2026\/"},"modified":"2026-06-20T04:19:14","modified_gmt":"2026-06-20T04:19:14","slug":"dragonforce-backdoor-turn-microsoft-teams-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/at\/dragonforce-backdoor-turn-microsoft-teams-2026\/","title":{"rendered":"DragonForce: Backdoor.Turn versteckt C2 in Microsoft Teams-Relays [2026]"},"content":{"rendered":"\n

Am 16. Juni 2026 ver\u00f6ffentlichten Forscher von Symantec und Carbon Black<\/strong> (beide Broadcom) einen Bericht, der die Sicherheitsbranche aufhorchen lie\u00df: Die Ransomware-Gruppe DragonForce<\/strong> hatte in einem Angriff auf ein gro\u00dfes US-Dienstleistungsunternehmen eine bis dahin unbekannte Technik eingesetzt. Mithilfe eines ma\u00dfgeschneiderten Go-basierten Backdoors namens Backdoor.Turn<\/strong> leiteten die Angreifer ihren Command-and-Control-Datenverkehr (C2) durch die legitimen TURN-Relay-Server von Microsoft Teams<\/strong>. F\u00fcr Netzwerkverteidiger waren die ausgehenden Verbindungen nicht von normalem Teams-Datenverkehr zu unterscheiden. Die Gruppe blieb damit bis zu zwei Monate unentdeckt<\/strong> im Netzwerk des Opfers.<\/p>\n\n\n\n

Dies ist nach Angaben der Forscher der erste bekannte Fall weltweit<\/strong>, bei dem TURN-Relay-Infrastruktur von Microsoft auf diese Weise als Tarnkappe f\u00fcr Schadsoftware missbraucht wird. Der Vorfall illustriert eine gef\u00e4hrliche Verschiebung: Ransomware-Gruppen der n\u00e4chsten Generation sind keine opportunistischen Kleinkriminellen mehr, sondern hochorganisierte Kartelle mit eigenem Werkzeugbau.<\/p>\n\n\n\n

Der Angriff im \u00dcberblick: Zwei Monate unsichtbar im Netzwerk<\/h2>\n\n\n\n

Die erste sch\u00e4dliche Aktivit\u00e4t<\/strong> im Netzwerk des Opfers wurde f\u00fcr Dezember 2025<\/strong> dokumentiert. Die Angreifer f\u00fchrten zun\u00e4chst einen PowerShell-Befehl aus, der ein ZIP-Archiv unter dem Deckmantel eines “Tech-Support-Hotfixes” entpackte. Der eigentliche Schadcode verbarg sich in diesem scheinbar harmlosen Paket. Von diesem Moment an bewegten sich die T\u00e4ter mit chirurgischer Pr\u00e4zision durch das Netz des Unternehmens: Erkundung, Diebstahl von Zugangsdaten, seitliche Bewegung, Anlegen neuer Administrator-Konten und \u00c4nderungen an Firewall-Regeln.<\/p>\n\n\n\n

Erst nach einer Verweildauer von einem bis zwei Monaten<\/strong> schlugen die Angreifer zu: Sie exfiltrierten Daten und verschl\u00fcsselten schlie\u00dflich die Systeme des Unternehmens mit DragonForce-Ransomware. Der Name des Opfers wurde nicht \u00f6ffentlich gemacht. Ob das Unternehmen das geforderte L\u00f6segeld bezahlte, ist laut Symantec ebenfalls nicht bekannt. Symantec schreibt den Angriff dem Bedrohungsakteur zu, den das Unternehmen intern als Hackledorb<\/strong> f\u00fchrt.<\/p>\n\n\n\n

Der Angriffsvektor unterstreicht ein bekanntes Problem: Unternehmen verlassen sich zu stark auf perimeterbasierten Schutz. Sobald ein Angreifer innerhalb des Netzwerks agiert und legitime Microsoft-Infrastruktur als C2-Kanal nutzt, versagen klassische Firewall-Regeln. Die durchschnittliche Verweildauer von Angreifern in Unternehmensnetzwerken liegt laut Mandiant-Daten aus dem Jahr 2025 weltweit bei 16 Tagen<\/strong>. DragonForce lag in diesem Fall mit bis zu 60 Tagen erheblich dar\u00fcber.<\/p>\n\n\n\n

Was ist Backdoor.Turn? Technische Analyse des Go-Backdoors<\/h2>\n\n\n\n

Backdoor.Turn<\/strong> ist ein in der Programmiersprache Go<\/strong> (Golang) geschriebener Remote-Access-Trojaner. Go-basierte Malware hat bei Ransomware-Gruppen stark an Beliebtheit gewonnen, weil der Compiler plattform\u00fcbergreifende Bin\u00e4rdateien erzeugt, die statischen Analysetools schwerer zu analysieren sind als C-basierte Malware.<\/p>\n\n\n\n

Um keine Aufmerksamkeit zu erregen, injiziert Backdoor.Turn seinen Code in den legitimen Windows-Prozess DbgView64.exe<\/strong>, ein Tool aus der bekannten Sysinternals-Suite von Microsoft. Da DbgView64.exe in vielen Unternehmensumgebungen als vertrauensw\u00fcrdiger Prozess gilt, passieren derartige Injektionen h\u00e4ufig unbemerkt. Carbon Black-Forscher beschreiben den Backdoor als “neuartig und bisher nicht dokumentiert” zum Zeitpunkt des Angriffs.<\/p>\n\n\n\n

Die Kernaufgabe von Backdoor.Turn besteht darin, C2-Kommunikation so zu verschl\u00fcsseln und umzuleiten, dass sie wie normaler Microsoft-Teams-Datenverkehr<\/strong> aussieht. Die Sicherheitsexperten von Symantec und Carbon Black best\u00e4tigen: “This appears to be the first malware family to abuse the TURN relay infrastructure in this way”<\/em> (Backdoor.Turn ist nach aktuellem Kenntnisstand die erste Malware-Familie, die TURN-Relay-Infrastruktur auf diese Weise missbraucht). F\u00fcr \u00f6sterreichische Unternehmen, die Microsoft Teams t\u00e4glich nutzen, ist dies eine ernste Warnung.<\/p>\n\n\n\n

Microsoft Teams als Tarnkappe: So funktioniert der TURN-Relay-Missbrauch<\/h2>\n\n\n\n

Das technische Herzst\u00fcck des Angriffs ist ein dreistufiger Prozess, mit dem Backdoor.Turn legitime Microsoft-Infrastruktur als Tarnung nutzt:<\/p>\n\n\n\n

    \n
  1. Token-Beschaffung:<\/strong> Die Schadsoftware ruft beim Microsoft Teams- und Skype-Backend einen anonymen Besucher-Token<\/strong> ab. Microsoft erlaubt solche Tokens, damit externe G\u00e4ste an Teams-Meetings teilnehmen k\u00f6nnen, ohne ein Konto zu besitzen. Dieser Mechanismus ist legitim und aus nachvollziehbaren Interoperabilit\u00e4tsgr\u00fcnden vorhanden.<\/li>\n
  2. TURN-Relay-Verbindung:<\/strong> Mit diesem Token authentifiziert sich Backdoor.Turn gegen\u00fcber dem TURN-Relay-Server<\/strong> von Microsoft. TURN (Traversal Using Relays around NAT) ist ein Netzwerkprotokoll, das f\u00fcr Echtzeit-Kommunikation in Teams genutzt wird. Der Relay-Server leitet die Pakete weiter, ohne den eigentlichen Endpunkt preiszugeben.<\/li>\n
  3. QUIC-Session zum echten C2:<\/strong> Nach dem Verbindungsaufbau \u00fcber den legitimen Microsoft-Server etabliert die Malware eine direkte QUIC-Verbindung<\/strong> zum tats\u00e4chlichen, von den Angreifern kontrollierten C2-Server. QUIC ist ein modernes UDP-basiertes Protokoll, das f\u00fcr seine geringe Latenz bekannt ist und in vielen Unternehmens-Firewalls nicht blockiert wird.<\/li>\n<\/ol>\n\n\n\n

    Das Ergebnis ist aus Verteidigersicht ern\u00fcchternd: Sicherheitssoftware und Netzwerkmonitore sehen lediglich ausgehende Verbindungen zu verifizierten Microsoft-Servern. Ohne Deep-Packet-Inspection mit spezifischer Verhaltensanalyse ist der versteckte C2-Kanal nahezu unsichtbar. Symantec-Forscher warnen: Unternehmen, die Microsoft Teams in ihren Netzwerken nicht explizit segmentieren oder \u00fcberwachen, sind blind f\u00fcr diese Art von Missbrauch.<\/p>\n\n\n\n

    Angriffschronologie: Von der SQL-L\u00fccke bis zur Verschl\u00fcsselung<\/h2>\n\n\n\n

    Die Rekonstruktion des Angriffs durch Symantec und Carbon Black zeigt einen klar strukturierten, mehrstufigen Ablauf:<\/p>\n\n\n\n

    Phase<\/th>Zeitraum<\/th>Technik \/ Werkzeug<\/th><\/tr><\/thead>
    Erstzugriff<\/td>Dezember 2025<\/td>SQL- oder MSSQL-Schwachstelle (oder Initial Access Broker)<\/td><\/tr>
    Persistenz<\/td>Dezember 2025<\/td>PowerShell, ZIP-Archiv als “Tech-Support-Hotfix” getarnt<\/td><\/tr>
    C2-Einrichtung<\/td>Dezember 2025<\/td>Backdoor.Turn in DbgView64.exe injiziert, TURN-Relay-Verbindung<\/td><\/tr>
    Privilegienerweiterung<\/td>Januar 2026<\/td>DLL-Sideloading, BYOVD, Huawei-Treiber HWAudioOs2Ec.sys<\/td><\/tr>
    Defence Evasion<\/td>Januar 2026<\/td>Abyss Worker Treiber, Havoc Process Terminator<\/td><\/tr>
    Datenkompromittierung<\/td>Januar bis Februar 2026<\/td>Laterale Bewegung, neue Admin-Konten, Firewall-\u00c4nderungen<\/td><\/tr>
    Exfiltration und Verschl\u00fcsselung<\/td>Februar 2026<\/td>DragonForce-Ransomware deployed<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

    Der initiale Zugang \u00fcber eine SQL- oder MSSQL-Schwachstelle<\/strong> bleibt ungekl\u00e4rt. Symantec h\u00e4lt es f\u00fcr m\u00f6glich, dass die Angreifer den Zugang von einem Initial Access Broker (IAB)<\/strong> erworben haben. IABs sind spezialisierte Kriminelle, die Unternehmenszug\u00e4nge im Darknet verkaufen. Dieser Markt ist in den Jahren 2025 und 2026 erheblich gewachsen, was die Eintrittsh\u00fcrde f\u00fcr Ransomware-Gruppen weiter senkt. Carbon Black-Threat-Hunter beschreiben das Vorgehen als typisch f\u00fcr einen vorbereitenden Erkundungsauftrag, bei dem auf den ersten Zugang ein wochen- bis monatelanger stiller Ausbau folgt.<\/p>\n\n\n\n

    BYOVD: Treiber als Waffe gegen Sicherheitssoftware<\/h2>\n\n\n\n

    Eine der gef\u00e4hrlichsten Komponenten des Angriffs war der Einsatz von Bring Your Own Vulnerable Driver<\/strong>-Techniken (BYOVD). Dabei laden Angreifer legitime, aber verwundbare Treiber auf ein System, um mit deren erh\u00f6hten Kernelrechten Sicherheitssoftware zu deaktivieren. Die Technik ist nicht neu, aber DragonForce setzt sie in einer Breite und Tiefe ein, die auf einen professionellen Werkzeugkasten hindeutet.<\/p>\n\n\n\n

    DragonForce nutzte in diesem Angriff mehrere Treiber gleichzeitig:<\/p>\n\n\n\n