Ransomware : quand DragonForce cache son trafic réseau dans Teams

Le groupe DragonForce, identifié par Symantec comme Hackledorb, a opéré une transition significative, passant d'un modèle standard de Ransomware-as-a-Service à une structure de cartel hautement organisée et formalisée. Cette évolution indique une maturité opérationnelle accrue, une allocation de ressources substantielle et un ciblage stratégique de campagnes à fort impact.

L'analyse de Symantec révèle un cycle de développement continu des capacités, avec l'adoption de techniques d'évasion de plus en plus sophistiquées depuis 2025. Et cela commence par Backdoor.Turn, un cheval de Troie en Go. C'est le premier malware connu à exploiter les serveurs de relais TURN de Microsoft Teams pour masquer son trafic de commande et de contrôle (C2).

Les attaquants intègrent leur trafic C2 au sein de l'infrastructure de relais Teams, ce qui permet aux défenseurs réseau de n'observer que des connexions sortantes vers des serveurs Microsoft Teams légitimes.

Backdoor.Turn obtient un jeton de visiteur anonyme via les services d'identité de Skype, utilise ensuite un relais TURN légitime de Microsoft pour établir la connexion, avant de lancer une session QUIC directe vers le serveur C2 malveillant. Cette méthode constitue la première utilisation documentée de l'infrastructure de relais TURN dans ce contexte.

Les relays TURN (pour Traversal Using Relays around NAT) sont des serveurs qui relaient le trafic multimédia entre deux pairs lorsqu'une communication directe n'est pas possible, typiquement dans des applications WebRTC (visioconférence, VoIP, streaming peer-to-peer). 

Leur rôle est essentiel : quand deux appareils veulent communiquer directement (peer-to-peer), ils ont souvent besoin de connaître leurs adresses IP publiques. Pour cela, ils utilisent un serveur STUN, qui leur indique comment ils sont vus depuis Internet. Dans de nombreux cas, cette information suffit pour établir une connexion directe. Car certains réseaux (entreprises, écoles, opérateurs mobiles, NAT symétriques, pare-feu stricts) empêchent toute connexion directe. C'est là qu'intervient le TURN relay : il devient un point de relais intermédiaire.

Le recours à de tels relais, légitimes, ajoute une astucieuse couche de maquillage d'un trafic malveillant dans des flux en apparence tout à fait normaux, associés aux outils collaboratifs.