Grupos de ransomware DragonForce utilizan un RAT en Go para ocultar C2 a través de Microsoft Teams

Introducción

En las últimas semanas, se ha detectado una sofisticada campaña de ciberataques protagonizada por el grupo de ransomware DragonForce, en la que emplean un troyano de acceso remoto (RAT) personalizado, denominado Backdoor.Turn, desarrollado en lenguaje Go. Lo más relevante de esta campaña es la utilización de la infraestructura de Microsoft Teams como canal para disfrazar y encubrir el tráfico de comando y control (C2), complicando significativamente su detección y respuesta por parte de los equipos de ciberseguridad.

Contexto del Incidente

Según informes publicados por Symantec (Broadcom) y Carbon Black, la amenaza fue desplegada contra una empresa de servicios estadounidense de gran tamaño, aunque por motivos de confidencialidad no se ha desvelado su identidad. DragonForce, conocido por su actividad en el ecosistema del ransomware-as-a-service (RaaS), ha ido evolucionando sus tácticas y recientemente ha apostado por técnicas de Living-off-the-Land (LotL) y por explotar servicios cloud empresariales ampliamente adoptados como Microsoft Teams, lo que representa una tendencia creciente en campañas de amenazas avanzadas.

Detalles Técnicos

El RAT identificado, Backdoor.Turn, está desarrollado en Go, un lenguaje cada vez más popular entre los grupos de ransomware por su portabilidad y dificultad de análisis estático. A diferencia de implantes más genéricos, esta backdoor ha sido adaptada para utilizar los servicios de relay de Microsoft Teams como canal encubierto de C2.

Vectores de Ataque
La infección inicial no ha sido detallada, pero en campañas previas DragonForce ha aprovechado vulnerabilidades en servidores expuestos (CVE-2023-23397, CVE-2023-28252), spear phishing y explotación de credenciales robadas. Una vez dentro, despliegan el RAT mediante scripts de PowerShell y ejecutables disfrazados en recursos compartidos.

Tácticas, Técnicas y Procedimientos (TTP)
Según la matriz MITRE ATT&CK, destacan las siguientes TTPs:

– T1071.001: Application Layer Protocol: Web Protocols (uso de Teams para C2)
– T1105: Ingress Tool Transfer (transferencia de herramientas tras la intrusión)
– T1027: Obfuscated Files or Information (ofuscación del binario Go)
– T1218.011: Signed Binary Proxy Execution: Rundll32 (posible ejecución lateral)

Indicadores de Compromiso (IoC)
Los IoC conocidos incluyen hashes de Backdoor.Turn, canales de Teams sospechosos, dominios de Teams inusuales en logs de red y patrones de tráfico cifrado no estándar saliendo a endpoints de Microsoft.

Impacto y Riesgos

La combinación de un RAT personalizado y el uso de canales legítimos de Teams para C2 supone un reto para las soluciones tradicionales de detección basadas en firmas o listas blancas de tráfico. La infraestructura cloud de Microsoft dificulta la distinción entre uso legítimo y malicioso, incrementando el riesgo de exfiltración de datos, lateralización interna, y despliegue de ransomware con potenciales impactos económicos que, según IBM Security, pueden superar los 4,5 millones de dólares de media por incidente en grandes empresas.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a esta campaña, se recomiendan las siguientes acciones:

– Monitorizar logs y alertas de Microsoft Teams, identificando sesiones y canales inusuales.
– Revisar y restringir permisos de aplicaciones y bots de terceros en Teams.
– Implementar detección basada en comportamiento para identificar patrones de C2 anómalos.
– Actualizar y parchear todos los sistemas expuestos, especialmente servidores y endpoints.
– Desplegar soluciones EDR/XDR capaces de analizar binarios en Go y tráfico ofuscado.
– Revisar la segmentación de red y establecer controles estrictos para el tráfico saliente a servicios cloud.
– Concienciar a los usuarios sobre phishing y buenas prácticas en el uso de Teams.

Opinión de Expertos

Analistas de Symantec y Carbon Black coinciden en que el aprovechamiento de plataformas colaborativas como Teams para actividades de C2 representa un salto cualitativo en la sofisticación de los grupos de ransomware. Según Javier Candau, jefe del Departamento de Ciberseguridad del CCN-CERT, “el uso de canales legítimos cloud para C2 complica la detección y requiere estrategias de defensa en profundidad y monitorización avanzada”. Por su parte, expertos de SANS advierten que “la portabilidad de Go y la tendencia a explotar SaaS dificultan la trazabilidad y el análisis forense”.

Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar la exposición de sus servicios cloud y endurecer las políticas de acceso y monitorización. El cumplimiento normativo, como el Reglamento General de Protección de Datos (GDPR) y la próxima directiva NIS2, exige demostrar capacidad de detección y respuesta ante compromisos que impliquen fuga de datos personales o interrupciones críticas. El abuso de Teams como canal de C2 es una advertencia clara sobre la necesidad de visibilidad y control sobre el tráfico SaaS, más allá del perímetro tradicional.

Conclusiones

La campaña de DragonForce expone la urgencia de adaptar los mecanismos de defensa a un escenario donde los actores de amenazas emplean canales cloud legítimos y malware personalizado para evadir la detección. El uso de Backdoor.Turn, su integración con Microsoft Teams y el enfoque en grandes empresas subrayan la necesidad de soluciones de seguridad avanzadas, formación continua y una revisión constante de la superficie de ataque digital.

(Fuente: feeds.feedburner.com)