Аналітики з кібербезпеки виявили новий шкідливий інструмент Backdoor.Turn, який угруповання DragonForce використовує для атак на корпоративні мережі. Ця шкідлива програма написана мовою Go та приховує зв’язок із командним сервером хакерів під виглядом легітонного інтернет-трафіку додатка Microsoft Teams. Вірус отримує анонімний гостьовий токен через інфраструктуру Skype, після чого задіює офіційний ретранслятор для створення захищеного сеансу. Це дозволяє повністю обходити моніторинг захисних систем, які бачать пакети даних як стандартні дзвінки Teams.

Отримавши доступ через вразливості в SQL-серверах, хакери використовують цей бекдор для тривалого закріплення в системі. За допомогою викрадених облікових даних вони здійснюють сканування мережі, картографування Active Directory та викрадають паролі з браузерів. Фінальним етапом стає розгортання вірусу-вимагача DragonForce для шифрування та викачування конфіденційних корпоративних файлів.