Microsoft Teams entra nel mirino del ransomware non come semplice canale di phishing o collaborazione compromessa, ma come copertura tecnica per il traffico di comando e controllo. L’allarme riguarda l’uso dei relay della piattaforma, componenti nati per far funzionare chiamate audio e video quando una connessione diretta tra partecipanti non è possibile. Proprio questa funzione, pensata per garantire continuità operativa in ambienti aziendali complessi, può rendere più difficile distinguere una comunicazione legittima da una malevola.
Il dato chiave è che i criminali informatici avrebbero usato i relay di Teams come infrastruttura command-and-control, mescolando traffico ostile e comunicazioni corporate apparentemente normali. In pratica, ciò che arriva agli strumenti di difesa può sembrare traffico Teams ordinario, quindi meno soggetto a controlli aggressivi rispetto a connessioni verso domini sconosciuti o server sospetti.
Il caso ricostruito riguarda una campagna attribuita agli operatori ransomware DragonForce, che nel dicembre 2025 avrebbero colpito una grande società statunitense di servizi. L’accesso iniziale alla rete sarebbe avvenuto probabilmente abusando di una falla non nota in un server SQL o MSSQL. Da quel punto, gli attaccanti avrebbero poi distribuito una backdoor personalizzata chiamata Backdoor.Turn, progettata per sostenere la persistenza e le comunicazioni nascoste.
Secondo i ricercatori di Symantec, Backdoor.Turn sfrutta il protocollo TURN, acronimo di Traversal Using Relays around NAT. È lo stesso meccanismo usato da Teams quando due o più partecipanti non riescono a stabilire un collegamento diretto, ad esempio perché si trovano dietro firewall o reti aziendali con regole restrittive. La conseguenza è delicata: i difensori possono vedere traffico associato a Teams, ma non necessariamente riconoscere che quel flusso sta trasportando istruzioni malevole.
Il malware è descritto come un RAT basato su Go, cioè uno strumento di accesso remoto capace di mantenere un canale operativo con gli attaccanti. Symantec lo indica come il primo malware noto a sfruttare i server relay TURN di Microsoft Teams per mascherare traffico C2. Il passaggio è rilevante perché porta una tecnica già discussa in ambito di ricerca dentro un uso reale, con impatto diretto sulle difese aziendali.
La tecnica era stata dimostrata nel 2025 da Praetorian, che l’aveva battezzata Ghost Calls. La novità non sta quindi solo nell’idea tecnica, ma nel suo impiego in una campagna ransomware concreta. Per le imprese, questo sposta il problema dal blocco del traffico anomalo alla capacità di ispezionare con maggiore attenzione anche flussi generati da piattaforme considerate affidabili e centrali nella produttività quotidiana.
DragonForce non è un nome nuovo nel panorama ransomware. Il gruppo è stato osservato per la prima volta nel 2023 ed è stato collegato all’organizzazione Scattered Spider. Nel 2025 avrebbe adottato un modello definito simile a quello di un cartello, offrendo una formula white-label agli affiliati: altri gruppi possono usare infrastruttura e malware di DragonForce, mentre gli attacchi vengono presentati con un proprio marchio. In questo schema, DragonForce gestisce elementi critici come siti di negoziazione, sviluppo del malware e portali per la pubblicazione dei dati rubati.
La lezione per le aziende è che la fiducia nei servizi cloud e collaborativi non può coincidere con una zona cieca nei controlli. Se una piattaforma come Teams diventa un canale attraverso cui nascondere traffico malevolo, il monitoraggio deve evolvere senza compromettere l’operatività degli utenti. Il caso Backdoor.Turn mostra che gli attaccanti stanno cercando di mimetizzarsi dentro l’infrastruttura digitale ordinaria delle imprese: proprio lì, dove il rumore di fondo è più alto e l’attenzione rischia di essere più bassa.