📅 18 Haz 2026 · 📰 The Hacker News / Broadcom Symantec · 🎯 MS Teams kurumsal kullanan organizasyonlar (geniş) · TLP:WHITE
DragonForce ransomware operatörleri, Backdoor.Turn adlı Go ile yazılmış özel uzaktan erişim trojanını Microsoft Teams relay altyapısı içine gizleyerek C2 trafiğini tünelliyor. Broadcom-Symantec ve Carbon Black, raporu büyük bir ABD hizmet firmasında tespit ile yayımladı.
Teknik özet: backdoor, Teams API'sinin chat mesajlarını ve dosya yollarını alıcı olarak kullanıyor. Geleneksel firewall + proxy katmanları Teams trafiğini 'business-critical, güvenli' olarak işaretlediği için bypass etkili. Microsoft Defender for Endpoint dahil EDR ürünleri normalde Teams sürecini şüphe dışı tutuyor.
Saldırgan iki aşamada hareket ediyor: önce Teams hesabını ele geçiriyor (genelde phishing veya çalıntı session token), sonra Backdoor.Turn'u kurban network'üne yerleştiriyor. RAT, kurban makinesinden çıkan trafiği Teams üzerinden saldırgan kontrolündeki Teams hesabına yönlendiriyor.
Bu, Microsoft Teams'in C2 kanalı olarak kullanıldığı ilk olgun teknik değil — ancak DragonForce'un bunu standardize etmesi geniş çaplı bir tehdit eğilimini gösteriyor. Teams trafiğine derinleştirilmiş inceleme (TLS decryption + content analysis) yapan kurumlar avantajda.