文章总结： DragonForce勒索软件团伙通过微软Teams中继服务器隐蔽传输C2流量，潜伏长达两月未被发现。其定制后门Backdoor.Turn滥用合法TURN基础设施，采用Go语言开发并注入dbgview64.exe进程，结合BYOVD技术利用华为等存在漏洞的签名驱动进行规避，展现高超攻击技巧。该团伙已从勒索即服务转型为犯罪联盟，具备持续威胁能力。 综合评分： 87 文章分类： 恶意软件,威胁情报,漏洞分析,红队,内网渗透

DragonForce 潜伏在微软 Teams 内部，长达两个月无人察觉

鹏鹏同学 鹏鹏同学

黑猫安全

2026年6月18日 08:49 湖北

在小说阅读器读本章

去阅读

DragonForce 勒索软件团伙入侵美国一家大型服务企业，通过微软自有 Teams 中继服务器中转命令与控制流量，隐蔽潜伏 1 至 2 个月之久。赛门铁克威胁追踪团队将该组织使用的定制后门标记为 Backdoor.Turn。在网络监测视角下，该流量与正常 Teams 业务流量毫无区别。

赛门铁克发布的报告写道：“Backdoor.Turn 从依托 Skype 的微软身份验证服务获取匿名 Teams 访客令牌，调用合法的微软 TURN 中继建立连接，随后通过 QUIC 协议会话与攻击者真实的命令控制服务器通信。据我们所知，这是野外攻击场景中首次出现此类滥用 TURN 中继基础设施的攻击手段。勒索攻击者自研专属工具本就不多见，而像 Backdoor.Turn 这样复杂度极高的定制后门更是十分罕见。”

DragonForce 工具：Backdoor.Turn

这是首款已知采用该方式滥用 TURN 中继基础设施的恶意程序。该攻击手法借鉴了 2025 年黑帽大会公布的 “幽灵呼叫（Ghost Calls）” 技术，核心是构建难以通过网络流量特征识别的 C&C 通信通道。

该后门采用 Go 语言开发，注入合法进程 DbgView64.exe 运行。恶意载荷可执行系统指令、内网扫描、梳理活动目录、利用窃取凭证横向渗透，并提取浏览器保存的各类密码。

攻击者疑似借助 SQL 或 MSSQL 服务器漏洞实现初始入侵，具体漏洞暂未明确；也有可能是从漏洞交易中间商处购买了目标访问权限。自 2025 年 12 月侵入内网后，攻击者上传压缩包，包内包含原版 VirtualBox 可执行文件与恶意 DLL，依靠侧加载技术启动，并从远端服务器拉取更多恶意载荷。

为规避安全检测，攻击者采用自带易受攻击驱动（BYOVD）技术，滥用多款带有数字签名的驱动程序，其中包含针对华为 HWAuidoOs2Ec.sys 驱动的新型攻击。本次攻击发生后，Huntress 安全团队才在 2026 年 3 月披露了该驱动存在漏洞的相关信息。

报告原文表述：“在本次攻击前，暂无野外实例证明该驱动会被如此利用；尽管 Huntress 研究员已于 2026 年 3 月记录其漏洞风险，但相关披露晚于本次入侵行动。”

团伙还部署了一款自制恶意驱动，伪装成帕洛阿尔托官方驱动程序。该文件本身并非正规驱动，因此并不符合传统 BYOVD 技术的定义范畴。

DragonForce 至少从 2023 年 6 月起持续活跃，团伙模式从传统勒索即服务转型为犯罪联盟架构。Backdoor.Turn 会在勒索程序执行完毕后安装，说明该团伙或是为后续二次入侵持久驻留权限，或是将攻陷后的内网访问权限转售给其他攻击者。

报告总结：“本次攻击中攻击者的网络作战技术极为成熟。Backdoor.Turn 的通信配置仅对外展示流向合法 Teams 服务器的流量，安全运维人员很难察觉恶意攻击者正在窃取内网数据。攻击者还利用当时尚未被公开曝光存在风险的驱动（Havoc Process Terminator）实施规避，充分体现其高超技术水平。”

DragonForce 团伙最早可追溯至 2023 年，该网络犯罪组织已从传统勒索即服务运营模式，发展为组织化网络犯罪联盟。赛门铁克表示，该团伙持续扩充攻击能力，熟练运用 Backdoor.Turn 恶意程序、高阶 BYOVD 规避等先进技术。凭借日趋成熟的运作体系、充足资源以及定向攻击作战思路，DragonForce 现已归为当前威胁能力最强、持续性最高的勒索软件团伙之一。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《DragonForce 潜伏在微软 Teams 内部，长达两个月无人察觉》