En bref

  • Le groupe de ransomware DragonForce a déployé un backdoor Go inédit baptisé Backdoor.Turn, qui dissimule ses communications de commande et contrôle dans le trafic légitime des relais TURN de Microsoft Teams.
  • Révélée par Symantec le 16 juin 2026, cette technique — première exploitation connue des relais TURN de Teams à des fins malveillantes — a permis au groupe de maintenir un accès indétecté pendant deux mois dans un grand groupe de services américain.
  • Les équipes sécurité doivent inspecter les communications Microsoft Teams sortantes et intégrer les indicateurs de compromission publiés par Symantec dans leurs outils SIEM et EDR.

Backdoor.Turn : quand l'infrastructure Teams devient un canal C2 invisible

Le 16 juin 2026, l'équipe Threat Hunter de Broadcom/Symantec a publié une analyse technique détaillée d'un nouvel outil malveillant utilisé par le groupe DragonForce lors d'une attaque ayant ciblé une grande entreprise américaine du secteur des services à partir de décembre 2025. Ce backdoor, nommé Backdoor.Turn par les chercheurs, représente une avancée technique significative dans les tactiques d'évasion des groupes de ransomware : pour la première fois documentée dans la nature, un acteur malveillant exploite l'infrastructure de relais TURN (Traversal Using Relays around NAT) de Microsoft Teams pour dissimuler ses communications de commande et contrôle (C2).

Le protocole TURN est un composant standard des communications WebRTC, utilisé par Microsoft Teams pour établir des connexions en contournant les restrictions NAT et les pare-feux d'entreprise. En détournant cette infrastructure légitime appartenant à Microsoft, les attaquants font en sorte que le trafic C2 de Backdoor.Turn soit indiscernable du trafic Teams habituel de l'organisation cible. Les solutions de détection réseau classiques, configurées pour faire confiance aux domaines Microsoft, se révèlent largement inefficaces face à cette technique.

Techniquement, Backdoor.Turn suit un processus d'établissement de connexion en trois temps. Il commence par obtenir un token de visiteur Teams anonyme auprès des services d'identité Skype de Microsoft, sans nécessiter aucun compte Microsoft valide associé à l'organisation cible. Il utilise ensuite un relais TURN légitime de Microsoft pour établir la connexion initiale, avant de superposer une session QUIC (Quick UDP Internet Connections) qui pointe vers le vrai serveur C2 des attaquants. Le protocole QUIC, standardisé sous RFC 9000, résiste naturellement aux inspections profondes de paquets (DPI) des solutions de sécurité réseau traditionnelles.

Une fois installé, Backdoor.Turn dispose d'un arsenal de capacités offensives complet : exécution de commandes arbitraires sur le système compromis, scan réseau pour cartographier l'infrastructure interne, collecte de certificats TLS, requêtes LDAP et Active Directory pour identifier les comptes privilégiés, vol de credentials stockés dans les navigateurs, et déplacement latéral basé sur les identifiants récupérés. Pour renforcer sa furtivité, le backdoor est injecté dans le processus légitime DbgView64.exe, l'utilitaire de débogage DebugView de Sysinternals, lui permettant d'éviter la détection par de nombreuses solutions endpoint security.

L'analyse technique de Symantec identifie trois composants malveillants distincts associés à cette campagne. Un driver vulnérable GameDriverx64 (hash SHA-256 : b6628d201c2a68d2a3de2a87de7a5acfe21b101a97928e1c8d5c82102d967383) sert à désactiver les protections kernel. Un shellcode contenant Backdoor.Turn (hash : ce66b8221446c9b6d83f0ce6382f430e519601641e5daaaf1ca7a8a8806cb0b0) constitue le payload principal. Une DLL malveillante se faisant passer pour un composant VirtualBox (hash : f174c19902523dcf005fa044b6598403a5e5c0a5982398d1bc0dcc5ec1cd351b) est chargée par sideloading pour contourner les contrôles d'intégrité des fichiers système.

D'après l'analyse de Symantec, Backdoor.Turn a été déployé en décembre 2025 lors de l'attaque contre l'entreprise américaine cible. Le groupe DragonForce a maintenu son accès pendant environ deux mois avant que l'incident ne soit détecté — une durée de persistance qui illustre l'efficacité de la technique d'évasion. Pendant cette période, les attaquants ont pu procéder à une reconnaissance approfondie du réseau interne, exfiltrer des données et préparer les conditions du déploiement ultérieur du ransomware.

DragonForce est un groupe de ransomware-as-a-service (RaaS) actif depuis au moins 2023. Selon des analyses publiées par plusieurs cabinets de threat intelligence, DragonForce aurait adopté une structure organisationnelle de type cartel, recrutant des affiliés auxquels il fournit les outils, l'infrastructure et le support opérationnel en échange d'une part des rançons. Le groupe est également associé à certaines méthodes d'ingénierie sociale caractéristiques de Scattered Spider, un collectif connu pour ses attaques ciblant les équipes IT et le support des grandes entreprises. Le développement de Backdoor.Turn atteste d'un investissement croissant dans des capacités techniques avancées.

La technique est d'autant plus préoccupante que Microsoft Teams est déployé dans des centaines de millions d'organisations. Le trafic Teams est généralement considéré comme de confiance par les équipes de sécurité réseau et peu analysé par les solutions SIEM ou EDR standard. En exploitant cette infrastructure, DragonForce transforme un outil de collaboration omniprésent en vecteur de persistance indétectable, sans nécessiter de modifier les règles de pare-feu ni de déployer une nouvelle infrastructure C2 susceptible d'être repérée par la threat intelligence.

La weaponisation des services cloud légitimes, un défi structurel pour les SOC

La technique de Backdoor.Turn s'inscrit dans une tendance que les équipes de threat intelligence observent depuis plusieurs années : la weaponisation des outils cloud légitimes à des fins de C2. Des groupes ont popularisé l'utilisation de services comme Google Drive, Slack, Discord ou GitHub comme canaux de communication malveillants, contournant les filtrages basés sur des listes noires de domaines. Backdoor.Turn franchit un palier supplémentaire en exploitant non pas une application Teams, mais son infrastructure réseau sous-jacente, rendant la détection encore plus difficile car il n'existe aucun domaine C2 distinct à bloquer ou à surveiller.

Cette évolution pose un défi fondamental aux architectures de sécurité réseau traditionnelles. Le modèle Zero Trust, qui préconise de ne faire confiance à aucun flux par défaut et d'inspecter chaque communication même si elle semble légitime, est précisément conçu pour répondre à ce type de menace. Mais l'inspection du trafic chiffré en QUIC reste un défi technique pour de nombreuses organisations : les proxies SSL/TLS classiques ne sont pas nécessairement capables de décoder et d'analyser ce type de flux sans configuration spécifique et équipement adapté. Les équipes SOC doivent envisager des approches complémentaires basées sur l'analyse comportementale plutôt que sur la seule inspection du trafic réseau.

Sur le plan de la responsabilité des fournisseurs, l'incident soulève la question des abus d'infrastructure cloud à grande échelle. Microsoft a été informé de la technique par Symantec dans le cadre du processus de divulgation. Des contrôles supplémentaires pourraient être envisagés pour détecter les usages anormaux des relais TURN : obtention massive de tokens visiteurs sans compte associé, patterns de connexion QUIC atypiques, ou volume de sessions TURN disproportionné par rapport à l'activité Teams attendue. La frontière entre usage légitime et abusif d'une infrastructure cloud partagée est de plus en plus difficile à tracer unilatéralement par les fournisseurs.

Pour les équipes de sécurité, la découverte de Backdoor.Turn impose une révision immédiate des politiques d'inspection du trafic Teams. Des règles de détection comportementale doivent être construites : processus légitimes comme DbgView64.exe initiant des connexions réseau sortantes inhabituelles, volume de trafic Teams anormal en dehors des heures d'activité, connexions QUIC persistantes vers des endpoints non répertoriés, ou chargement de DLL inattendues dans des processus système connus. Les indicateurs de compromission publiés par Symantec — notamment les trois hashes SHA-256 — peuvent être intégrés directement dans les plateformes SIEM et les outils EDR compatibles.

Ce qu'il faut retenir

  • Backdoor.Turn est le premier malware connu à exploiter les relais TURN de Microsoft Teams pour dissimuler son trafic C2 dans du trafic cloud légitime, rendant la détection réseau classique inefficace.
  • DragonForce a maintenu un accès indétecté pendant deux mois grâce à cette technique, combinée à l'injection dans DbgView64.exe et à l'utilisation d'un driver vulnérable pour désactiver les protections kernel.
  • Intégrer les IoC publiés par Symantec (trois hashes SHA-256) dans vos outils EDR et SIEM, et construire des règles de détection comportementale ciblant les connexions QUIC anormales issues de processus système légitimes.

Comment détecter Backdoor.Turn dans mon environnement Microsoft Teams ?

Recherchez les processus DbgView64.exe initiant des connexions réseau sortantes inhabituelles, les sessions QUIC persistantes vers des endpoints Teams non répertoriés, et les chargements de DLL suspectes dans des processus système connus. Les trois hashes SHA-256 publiés par Symantec peuvent être ajoutés directement aux règles de détection de votre EDR. Une analyse rétrospective des logs réseau sur les six derniers mois est recommandée dans les environnements potentiellement exposés.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact