O uso do Microsoft Teams por grupos de ransomware ganhou um novo elemento de atenção para equipes de segurança corporativa. Pesquisadores da Symantec identificaram uma campanha atribuída ao DragonForce em que criminosos passaram a abusar de servidores de retransmissão usados pela plataforma para mascarar comunicações maliciosas de comando e controle. A técnica chama atenção porque tenta transformar tráfego aparentemente legítimo de colaboração em um canal para manter acesso dentro de redes corporativas.
A movimentação foi observada em dezembro de 2025 contra uma grande empresa de serviços dos Estados Unidos. De acordo com a apuração técnica divulgada, os atacantes provavelmente exploraram uma falha ainda não identificada em ambiente SQL ou MSSQL para obter acesso inicial à rede da vítima. Depois da entrada, o grupo implantou um malware personalizado chamado Backdoor.Turn, descrito como um RAT desenvolvido em Go.
Como os relays do Teams entraram na mira
No funcionamento normal do Microsoft Teams, servidores de relay ajudam a conduzir tráfego de áudio e vídeo quando uma conexão direta entre participantes não pode ser estabelecida, como em redes protegidas por firewall ou em ambientes corporativos com restrições de comunicação. Esse recurso faz parte da lógica de conectividade de ferramentas de videoconferência e colaboração, mas passou a ser explorado como cobertura para tráfego malicioso.
O Backdoor.Turn abusa do protocolo TURN, sigla para Traversal Using Relays around NAT. Na prática, esse mecanismo permite que comunicações passem por relays quando a conexão direta não é possível. A sofisticação do ataque está justamente na tentativa de misturar a comunicação do malware com tráfego que, em muitos ambientes, é visto como rotineiro e confiável.
Para equipes de defesa, o desafio é evidente: bloquear ou inspecionar de forma agressiva todo tráfego associado ao Microsoft Teams pode afetar diretamente a operação do negócio. Ao mesmo tempo, ignorar esse fluxo cria uma brecha para que invasores escondam comandos, movimentação e persistência sob a aparência de uma aplicação corporativa amplamente utilizada.
DragonForce amplia sofisticação operacional
O DragonForce é apontado como um operador de ransomware ativo desde 2023 e já foi relacionado a conexões com o ecossistema Scattered Spider. O grupo também teria adotado, em 2025, um modelo de afiliação semelhante a uma operação white label, em que outros agentes podem usar infraestrutura e ferramentas sob marcas próprias, enquanto a organização central oferece suporte a sites de vazamento, negociação e desenvolvimento de malware.
Esse formato reforça uma tendência observada em ataques recentes: o ransomware deixou de depender apenas de criptografia de arquivos e passou a operar como uma cadeia de serviços criminosa. A infraestrutura, os métodos de evasão, os canais de comunicação e a pressão sobre vítimas são distribuídos entre diferentes participantes, tornando as campanhas mais difíceis de rastrear e interromper.
No caso analisado, a Symantec classificou a operação como altamente sofisticada. O ponto mais relevante para empresas não está apenas no uso do malware em si, mas na escolha do canal de ocultação. Ao se apoiar em uma ferramenta de colaboração corporativa, os invasores exploram a confiança criada em torno de plataformas essenciais ao trabalho híbrido.
Técnica Ghost Calls chega ao uso real
A técnica associada ao abuso de relays do Teams havia sido demonstrada em 2025 pela Praetorian sob o nome “Ghost Calls”. A campanha ligada ao DragonForce, no entanto, é tratada como o primeiro uso conhecido em ambiente real. Isso muda o peso do alerta: o que antes era uma prova de conceito passa a ser uma tática operacional em ataques de ransomware.
Para CISOs e equipes de SOC, o episódio reforça a necessidade de revisar modelos de detecção baseados apenas em reputação de domínio, destino conhecido ou aplicação aprovada. Em ambientes modernos, tráfego associado a ferramentas legítimas também precisa ser analisado por comportamento, volume, destino, contexto do usuário, horário, processo de origem e correlação com outros eventos da rede.
O que empresas devem observar
A resposta a esse tipo de ameaça não passa por tratar o Microsoft Teams como uma aplicação insegura, mas por reconhecer que qualquer plataforma amplamente confiável pode ser usada como cobertura por agentes maliciosos. O foco deve estar na visibilidade, na segmentação e na capacidade de identificar desvios de comportamento.
Entre os pontos de atenção estão conexões incomuns envolvendo servidores, processos inesperados iniciando comunicação externa, tráfego persistente fora do padrão de uso do usuário, tentativas de acesso após exploração de bases SQL e execução de binários desconhecidos em máquinas críticas. Também se torna mais importante cruzar dados de EDR, firewall, proxy, identidade e telemetria de aplicações SaaS.
A campanha mostra que a segurança corporativa precisa acompanhar a integração crescente entre colaboração, nuvem e infraestrutura interna. Ferramentas usadas diariamente por colaboradores, como chat, videoconferência e compartilhamento de arquivos, passaram a compor a superfície de ataque e exigem controles mais refinados.
Segurança precisa ir além da confiança na aplicação
O caso do DragonForce ilustra um movimento mais amplo do cibercrime: esconder atividades maliciosas dentro de fluxos legítimos. Essa estratégia dificulta bloqueios simples, reduz a eficácia de listas estáticas e exige maturidade em detecção comportamental.
Para empresas, a mensagem é direta. Ambientes colaborativos não devem ser monitorados apenas sob a ótica de produtividade ou disponibilidade. Eles também precisam integrar a estratégia de cibersegurança corporativa, com políticas claras de acesso, análise de anomalias, resposta rápida a credenciais comprometidas e validação contínua de tráfego.
O uso de relays do Teams para ocultar comunicação de ransomware não representa apenas uma nova técnica isolada. Ele sinaliza que grupos criminosos estão mirando justamente os pontos em que segurança e operação se encontram. Quanto mais essencial uma aplicação se torna para o trabalho diário, maior tende a ser seu valor como disfarce para ataques avançados.
Assine a nossa News e siga o Itshow em nossas redes sociais para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!