Die Hacker missbrauchen legitime Microsoft-Teams-Infrastruktur, um ihre Kommandos zu verstecken – und blieben so monatelang unentdeckt.
Der Angriff richtete sich ab Dezember 2025 gegen ein großes US-Dienstleistungsunternehmen. Wie die Sicherheitsfirmen Symantec und Carbon Black in einem heute veröffentlichten Bericht enthüllen, nutzten die Angreifer erstmals Microsofts TURN-Server (Traversal Using Relays around NAT) für ihre schädlichen Aktivitäten. Diese Server sind eigentlich dafür da, Videoanrufe und Bildschirmübertragungen in Teams zu ermöglichen.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Cyber-Security-Ratgeber herunterladen
Die Backdoor.Turn-Methode
Das Herzstück des Angriffs ist eine eigens entwickelte Schadsoftware namens Backdoor.Turn, geschrieben in der Programmiersprache Go. Sie verschafft sich einen anonymen Teams-Gast-Token und nutzt diesen, um auf die vertrauenswürdigen TURN-Relay-Server zuzugreifen. Über eine QUIC-Sitzung – ein modernes Netzwerkprotokoll – leitet die Malware den Datenverkehr dann an den Kommando-Server der Hacker weiter.
Die Sicherheitsexperten vermuten, dass die Technik auf Forschungsergebnissen der Black-Hat-Konferenz 2025 basiert. Einmal installiert, gewährte die Hintertür den Angreifern weitreichende Möglichkeiten: Sie konnten Befehle ausführen, Netzwerke scannen, Zugangsdaten stehlen und Active-Directory- sowie LDAP-Umgebungen kartieren.
Ausweitung der Angriffsmethoden
Um unentdeckt zu bleiben und Sicherheitssoftware auszuschalten, setzte die DragonForce-Gruppe auf die BYOVD-Taktik (Bring Your Own Vulnerable Driver). Dabei schleusen die Angreifer verwundbare Treiber ein, die eigentlich von legitimen Herstellern stammen. Zum Einsatz kamen unter anderem ein bisher unbekannter Huawei-Treiber (HWAuidoOs2Ec.sys) sowie Treiber von Topaz Antifraud, K7 Security und dem Spiel „Tower of Fantasy“.
Die Sicherheitslücken, die dabei ausgenutzt wurden, tragen die Bezeichnungen CVE-2023-52271, CVE-2025-61155 und CVE-2025-1055. Zudem entdeckten die Forscher einen eigenen Schadtreiber namens ABYSSWORKER und ein neuartiges Werkzeug, das sie „Havoc Process Terminator“ taufen. Der erste Zugriff auf das Netzwerk erfolgte vermutlich über eine Schwachstelle in SQL- oder MSSQL-Servern – oder über den Kauf von Zugangsdaten bei sogenannten Initial-Access-Brokern.
Die vollständigen Ergebnisse werden am 18. Juni 2026 auf der Area41 Cybersecurity Conference präsentiert.
Weitere Gefahren für Microsoft-365-Umgebungen
Die Enthüllungen über DragonForce sind nicht die einzigen Sicherheitswarnungen rund um Microsofts Cloud-Dienste. Bereits Ende Mai 2026 hatte das FBI vor einer Phishing-as-a-Service-Plattform namens Kali365 gewarnt. Seit mindestens April 2026 wird der Dienst über Telegram für umgerechnet rund 230 Euro pro Monat vertrieben.
Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker bei Methoden wie Phishing gnadenlos aus. Ein neuer Gratis-Report enthüllt die aktuellen Taktiken der Cyberkriminellen und wie man sie entlarvt. Anti-Phishing-Paket jetzt gratis herunterladen
Kali365 umgeht die Multi-Faktor-Authentifizierung (MFA), indem es den OAuth-Gerätecode-Fluss ausnutzt. Opfer erhalten Phishing-Mails, die sie auffordern, einen Verifizierungscode auf einer legitimen Microsoft-Seite einzugeben – ohne zu wissen, dass sie damit den Angreifern dauerhaften Zugriff auf Outlook, Teams und OneDrive gewähren.
Kritische Lücke in Microsoft 365 Copilot
Erst gestern, am 15. Juni 2026, haben Forscher von Varonis Threat Labs eine schwerwiegende Sicherheitslücke in Microsoft 365 Copilot Enterprise gemeldet. Die Schwachstelle mit der Kennung CVE-2026-42824 trägt den Spitznamen SearchLeak und erreicht mit 10,0 die höchste Gefahrenstufe des CVSS-Scores.
Die Angriffskette kombiniert eine Parameter-zu-Prompt-Injection mit einer Race-Condition. Ein einziger bösartiger Link reicht aus, um vertrauliche Daten abzugreifen – darunter E-Mails und sogar Zwei-Faktor-Authentifizierungscodes. Microsoft hat inzwischen einen Sicherheitspatch für diese kritische Lücke bereitgestellt.
