AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Servidores de Microsoft Teams, utilizados como C2 en ataque de ransomware DragonForce**

admin

### 1. Introducción

En un reciente incidente que ha generado gran preocupación entre la comunidad de ciberseguridad, se ha detectado el uso malicioso de los servidores de Microsoft Teams como canales de comando y control (C2) en un ataque de ransomware atribuido al grupo DragonForce. Este ataque destaca por la utilización de una puerta trasera desarrollada en Go, lo que supone una evolución en las tácticas de los operadores de ransomware, aprovechando la infraestructura legítima de una de las plataformas colaborativas más extendidas en el entorno empresarial actual.

### 2. Contexto del Incidente

El grupo de ransomware DragonForce, conocido por su actividad orientada a la extorsión doble (cifrado y robo de datos), ha incorporado una nueva técnica a su arsenal: el abuso de los servidores de Microsoft Teams como relays para sus comunicaciones C2. Esta plataforma, ampliamente adoptada en entornos corporativos tras la pandemia, ofrece a los atacantes una vía discreta para evadir soluciones de detección convencionales, al camuflar el tráfico malicioso dentro de flujos legítimos de colaboración empresarial.

El incidente fue detectado tras la aparición de actividad anómala en endpoints corporativos, en los que se identificó una comunicación inusual con dominios asociados a Microsoft Teams. El análisis forense posterior permitió aislar una muestra de una puerta trasera escrita en Go, hasta ahora no documentada en ataques previos del grupo DragonForce.

### 3. Detalles Técnicos

#### 3.1. Puerta trasera Go y Vectores de Ataque

La muestra analizada corresponde a una backdoor desarrollada en el lenguaje Go (Golang), compilada para sistemas Windows (x86 y x64), aunque no se descarta la existencia de variantes multiplataforma. Este malware establece su C2 utilizando la API de Microsoft Teams, aprovechando canales, chats y la propia infraestructura de la plataforma para enviar y recibir comandos, así como exfiltrar información.

El vector inicial de compromiso no ha sido confirmado, pero se sospecha de campañas de phishing dirigidas (spear-phishing) con adjuntos maliciosos o links a payloads ofuscados.

#### 3.2. Tácticas, Técnicas y Procedimientos (TTPs)

– **MITRE ATT&CK**:
– T1071.001 (Application Layer Protocol: Web Protocols)
– T1105 (Ingress Tool Transfer)
– T1566 (Phishing)
– T1219 (Remote Access Software)
– **Indicadores de Compromiso (IoC)**:
– Comunicaciones salientes a subdominios de Teams (`*.teams.microsoft.com`).
– Ejecución de binarios Go desconocidos en rutas no habituales.
– Comportamiento anómalo en el uso de la API de Teams (creación de chats, intercambio de archivos fuera de horario laboral).

#### 3.3. Herramientas y Frameworks

Hasta la fecha, no se ha detectado el uso de frameworks públicos como Metasploit o Cobalt Strike en esta campaña concreta, aunque DragonForce es conocido por su uso habitual de herramientas post-explotación comerciales y de código abierto.

### 4. Impacto y Riesgos

La principal amenaza radica en la capacidad del atacante para mantener persistencia y control sobre los sistemas comprometidos utilizando canales que habitualmente no son monitorizados de forma estricta por los equipos SOC. Además, el empleo de la infraestructura legítima de Microsoft dificulta la aplicación de bloqueos sin afectar a la productividad.

Se estima que cerca del 65% de las organizaciones que utilizan Microsoft Teams no segmentan adecuadamente el tráfico interno y externo de la plataforma, lo que incrementa el riesgo de movimientos laterales y exfiltración de datos.

El daño potencial incluye cifrado de activos críticos, robo de información sensible y exposición a sanciones bajo normativa GDPR y NIS2, especialmente en sectores regulados.

### 5. Medidas de Mitigación y Recomendaciones

– **Revisión de logs**: Monitorizar la actividad de Teams en busca de accesos y comunicaciones inusuales.
– **Segmentación de red**: Limitar el acceso a la API de Teams únicamente a usuarios y aplicaciones legítimas.
– **Análisis de tráfico**: Implementar inspección profunda (DPI) para identificar patrones anómalos en el tráfico asociado a Teams.
– **Restricción de ejecución**: Bloquear la ejecución de binarios no firmados y desconocidos, especialmente los desarrollados en Go.
– **Actualización de firmas y reglas**: Integrar IoCs detectados en SIEM, EDR y sistemas de firewall.
– **Formación**: Refrescar la concienciación frente a campañas de spear-phishing y uso seguro de herramientas colaborativas.

### 6. Opinión de Expertos

Expertos de la industria subrayan la creciente tendencia de los grupos de ransomware a abusar de infraestructuras SaaS y plataformas colaborativas. Según María Gómez, analista de amenazas en S21sec, “El uso de servidores de Teams para C2 demuestra una sofisticación creciente y obliga a las empresas a revisar tanto sus controles de acceso como sus estrategias de monitorización”. Por su parte, David Sánchez, CISO de una multinacional financiera, indica: “El modelo Zero Trust y la visibilidad completa sobre el uso de aplicaciones SaaS son ya imprescindibles para la resiliencia corporativa”.

### 7. Implicaciones para Empresas y Usuarios

A nivel corporativo, este ataque resalta la necesidad de tratar los servicios colaborativos no solo como herramientas de productividad, sino como superficies de ataque potenciales. Las empresas deben revisar sus políticas de seguridad sobre plataformas SaaS y garantizar que la monitorización cubra tanto acciones de usuario como automatizaciones y APIs.

Para los usuarios, el incidente implica extremar las precauciones ante mensajes y archivos sospechosos, incluso si provienen de canales internos aparentemente legítimos.

### 8. Conclusiones

El abuso de los servidores de Microsoft Teams como canal C2 por parte de DragonForce marca un hito preocupante en la evolución de los ataques de ransomware. La sofisticación técnica y la capacidad de ocultar las comunicaciones maliciosas en flujos autorizados exigen una revisión profunda de los controles de seguridad y las estrategias de detección en torno a las plataformas colaborativas. La adaptación rápida y proactiva será clave para mitigar este tipo de amenazas emergentes.

(Fuente: www.securityweek.com)