Le groupe de rançongiciel DragonForce a exploité l’infrastructure de relais de Microsoft Teams pour y enfouir ses échanges avec un serveur de commande distant, selon les conclusions publiées par les chercheurs de Symantec. L’attaque, observée dès décembre 2025 contre une grande entreprise américaine de services, repose sur un malware inédit baptisé Backdoor.Turn, un cheval de Troie écrit en Go dont la particularité tient en une phrase. Il se fait passer pour du trafic Teams parfaitement légitime.
Backdoor.Turn récupère d’abord un jeton d’authentification anonyme auprès des services d’identité Skype qui sous-tendent Teams, puis utilise un serveur TURN (Traversal Using Relays around NAT) de Microsoft pour établir la connexion initiale avant de basculer vers une session QUIC dirigée tout droit vers le serveur de l’attaquant. Les défenseurs réseau ne voient alors que des connexions sortantes vers les serveurs Microsoft. Le subterfuge est redoutable. « Backdoor.Turn est le premier malware connu à détourner les serveurs TURN de Microsoft Teams pour masquer le trafic de commande et contrôle », confirme Symantec dans son rapport.
Les assaillants sont demeurés entre un et deux mois sur le réseau de la victime, un délai qui donne la mesure de l’efficacité du camouflage. L’idée n’est pourtant pas tombée du ciel. En 2025, les chercheurs de Praetorian avaient déjà présenté une technique baptisée « Ghost Calls », démontrant comment des identifiants TURN temporaires de Teams et Zoom pouvaient être détournés pour créer des tunnels de communication furtifs. Backdoor.Turn transpose ce concept théorique dans la réalité opérationnelle d’une attaque par rançongiciel… et c’est bien la première fois que cela se produit en conditions réelles.
L’intrusion aurait débuté par l’exploitation d’une faille non identifiée sur un serveur SQL ou MSSQL, à moins que l’accès n’ait été tout bonnement acheté auprès d’un courtier spécialisé. Une fois le point d’entrée sécurisé, les attaquants ont téléchargé une archive ZIP contenant un exécutable légitime VirtualBox/DbgView accompagné d’une DLL vérolée (vboxrt.dll), destinée au chargement latéral. Cette DLL télécharge ensuite du code supplémentaire depuis une liste de serveurs distants, du code qui sert aussi bien à la reconnaissance qu’à la persistance et à l’évasion.
DragonForce a par ailleurs déployé une stratégie BYOVD (Bring Your Own Vulnerable Driver) d’une ampleur peu commune pour neutraliser les outils de sécurité. Quatre pilotes légitimes signés mais vulnérables ont été exploités, notamment le HWAuidoOs2Ec.sys de Huawei dans une technique baptisée « Havoc Process Terminator », le wsftprm.sys de Topaz Antifraud (CVE-2023-52271), le GameDriverx64.sys du jeu Tower of Fantasy (CVE-2025-61155) et le K7RKScan.sys de K7 Security (CVE-2025-1055). Le pilote Huawei n’avait jamais été observé dans ce type d’exploitation avant cette attaque. Les chercheurs de Huntress n’en ont d’ailleurs documenté la vulnérabilité qu’en mars 2026, soit après l’incident. Les attaquants ont également utilisé ABYSSWORKER, un pilote malveillant sur mesure qui se fait passer pour un pilote légitime de Palo Alto Networks.
Un détail retient l’attention dans la chronologie de l’attaque. Backdoor.Turn n’a été injecté dans le processus DbgView64.exe qu’après le déploiement du rançongiciel et le chiffrement des systèmes. Cette séquence suggère que la porte dérobée vise la persistance post-attaque, peut-être pour faciliter une future intrusion ou revendre l’accès à d’autres acteurs. Le RAT dispose d’un arsenal complet permettant l’exécution de commandes, le scan réseau, la capture de certificats TLS, l’interrogation LDAP et Active Directory, le vol d’identifiants de navigateurs et le déplacement latéral via des identifiants dérobés.
DragonForce, actif depuis au moins juin 2023 et suivi par Symantec sous le nom Hackledorb, a abandonné le modèle classique de ransomware-as-a-service pour adopter une structure de cartel formalisée. Le groupe a été lié au collectif Scattered Spider. Qu’un opérateur de rançongiciel développe ses propres outils sur mesure reste peu fréquent dans l’écosystème cybercriminel, et qu’il le fasse avec ce degré de sophistication technique l’est encore moins. Symantec a publié l’ensemble des indicateurs de compromission liés à cette campagne, tandis que le chercheur Thibaut Passilly présentera ces travaux à la conférence Area41 à Zurich le 18 juin 2026. La question qui se pose désormais aux équipes de défense réseau est vertigineuse dans sa formulation même. Comment distinguer le trafic Teams d’un employé en visioconférence de celui d’un rançongiciel en pleine exfiltration de données ?
