Microsoft Teams: Hackergruppe DragonForce nutzt TURN-Relays als Tarnung
16.06.2026 - 15:48:08 | boerse-global.de
Sicherheitsforscher haben eine neue Angriffsmethode entdeckt, bei der Kriminelle Microsoft Teams als Tarnung für ihre Schadsoftware nutzen.
Die Hackergruppe DragonForce hat eine raffinierte Technik entwickelt, um ihren Datenverkehr hinter legitimer Microsoft-Infrastruktur zu verstecken. Wie die Analyse von Symantec zeigt, kapern die Angreifer die TURN-Relay-Dienste von Microsoft Teams – ein Verfahren, das erstmals in echten Angriffen dokumentiert wurde.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Experten-Checkliste jetzt kostenlos anfordern
Wie die Tarnung funktioniert
Die Gruppe setzt einen sogenannten Remote Access Trojan (RAT) namens Backdoor.Turn ein, der in der Programmiersprache Go geschrieben ist. Das Schadprogramm besorgt sich einen anonymen Teams-Gast-Token und leitet seinen gesamten Datenverkehr über legitime Microsoft-Server um. Durch die Nutzung des verschlüsselten QUIC-Protokolls tarnt sich der bösartige Traffic als normale Microsoft-Teams-Kommunikation – für Sicherheitssysteme kaum zu erkennen.
Diese Methode baut auf theoretischer Forschung aus dem vergangenen Jahr auf, wurde nun aber erstmals in der Praxis nachgewiesen. In einem konkreten Fall gelang es den Angreifern, sich ein bis zwei Monate unentdeckt im Netzwerk eines US-Dienstleisters zu bewegen, bevor sie im Dezember 2025 die Erpressungssoftware ausrollten.
Treiber-Schwachstellen als Einfallstor
DragonForce, seit 2023 aktiv und offenbar mit der berüchtigten Scattered Spider-Gruppe verbunden, setzt auf eine besonders perfide Taktik: die BYOVD-Methode („Bring Your Own Vulnerable Driver"). Dabei nutzen die Hacker bekannte Sicherheitslücken in legitimen Treibern, um Schutzsoftware auszuschalten.
Zum Einsatz kamen unter anderem:
- Ein Huawei-Audiotreiber als Prozess-Killer
- Topaz Antifraud (wsftprm.sys)
- Ein Treiber des Spiels Tower of Fantasy
- K7 Security (K7RKScan.sys)
- Ein als Palo-Alto-Netzwerktreiber getarntes Tool namens ABYSSWORKER
Der erste Zugriff erfolgte meist über Schwachstellen in SQL- oder MSSQL-Servern. Einmal im Netzwerk, verschaffte Backdoor.Turn den Angreifern weitreichende Kontrolle: Sie konnten Prozesse starten, Netzwerke scannen und Active-Directory-Umgebungen durchsuchen. Browser-Zugangsdaten und TLS-Zertifikate wurden gestohlen, bevor die eigentliche Erpressung begann.
Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker gnadenlos aus. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen – und wie man sie entlarvt. Kostenlosen Anti-Phishing-Report herunterladen
Neue Gefahr für Microsoft-365-Nutzer
Die Enthüllung kommt zeitgleich mit einer Warnung des FBI vor einer Phishing-as-a-Service-Plattform namens Kali365. Seit April 2026 wird der Dienst über Telegram für umgerechnet rund 230 Euro pro Monat angeboten. Kali365 automatisiert den Diebstahl von Microsoft-365-OAuth-Tokens und umgeht dabei die Multi-Faktor-Authentifizierung.
Die Opfer werden auf eine täuschend echte Microsoft-Seite gelockt, geben dort einen Code ein – und schon haben die Angreifer Zugriff auf Outlook, Teams und OneDrive. Tausende Nutzer aus Industrie, Bildung, Finanzwesen und Verwaltung sollen bereits betroffen sein.
Die US-Behörden empfehlen Unternehmen, mit Conditional-Access-Richtlinien den Device-Code-Flow zu blockieren. Weitere technische Details zu den DragonForce-Angriffen werden voraussichtlich am 18. Juni 2026 auf der Sicherheitskonferenz Area41 vorgestellt.
