Nach Erkenntnissen von Symantec und Carbon Black verschafften sich die Angreifer den ersten Zugang vermutlich über die Ausnutzung einer Schwachstelle in einem SQL- oder MS-SQL-Server. Die genaue Natur der Lücke ist jedoch unbekannt. Als weitere Möglichkeit nennen die Forscher, dass der Zugang von einem Initial Access Broker bezogen wurde.

Die ersten bösartigen Aktivitäten im Netzwerk des Opfers begannen im Dezember 2025. Dabei führten die Angreifer einen PowerShell-Befehl aus, um unter dem Vorwand eines Hotfixes des technischen Supports ein ZIP-Archiv abzulegen. Dieses Archiv startete eine DLL-Side-Loading-Attacke, die wiederum eine manipulierte DLL ausführte. Diese sollte Aufklärung im Netzwerk betreiben, Persistenz einrichten und Sicherheitssoftware mit Hilfe eines Huawei-Treibers namens „HWAuidoOs2Ec.sys“ zum Schweigen bringen.

Dabei kam die Technik „Bring Your Own Vulnerable Driver“ zum Einsatz, kurz BYOVD. Dem Bericht zufolge wurde derselbe Treiber später auch in einer groß angelegten Malvertising-Kampagne gegen Personen in den USA verwendet, die nach steuerbezogenen Dokumenten suchten. Symantec und Carbon Black betonen allerdings, dass dies erst nach dem Ransomware-Vorfall geschehen sein soll.

Auffällig an dem Angriff ist laut den Forschern, dass Backdoor.Turn erst nach der Bereitstellung der DragonForce-Ransomware ausgeführt und dafür in den legitimen Prozess „DbgView64.exe“ injiziert wurde. Das deute darauf hin, dass die Angreifer den Zugriff auf das kompromittierte System für spätere Angriffe aufrechterhalten oder den Zugang gewinnbringend weiterverkaufen wollten.

Technisch stützt sich Backdoor.Turn auf eine TURN-basierte Methode zur verdeckten C2-Kommunikation, die als „Ghost Calls“ bekannt ist und von Praetorian im August 2024 dokumentiert wurde. Symantec und Carbon Black beschreiben den Ablauf so: Die Backdoor fordert beim Microsoft-Teams-/Skype-Backend ein Besuchertoken an, verwendet dieses Token für die Interaktion mit der zu Teams gehörenden Infrastruktur, also dem TURN-Relay, und stellt so ausgehende Konnektivität her. Nach diesem relay-unterstützten Verbindungsaufbau errichtet die Malware dann eine direkte QUIC-Sitzung zum bösartigen C2-Server.

Der Funktionsumfang der Malware ist breit. Laut Bericht unterstützt Backdoor.Turn die Ausführung von Befehlen, das Erstellen von Prozessen, Netzwerkscans, LDAP- und Active-Directory-Suchen, laterale Bewegung auf Basis von Zugangsdaten sowie den Diebstahl von Browser-Anmeldedaten.

Für Symantec und Carbon Black zeigt der Fall eine Gruppe, die auf ausgefeilte Angriffstechniken für gezielte Angriffe mit hoher Wirkung setzt und dabei Opfer über verdeckte Datenabflüsse im Unklaren lassen kann. Die Forscher ordnen dies auch in die Entwicklung von Hackledorb ein, dem Akteur hinter DragonForce. Dieser habe sich von einem herkömmlichen Ransomware-as-a-Service-Modell zu einer stark organisierten, formalisierten Kartellstruktur entwickelt. Der operative Zeitverlauf zeige ein Muster kontinuierlicher Fähigkeitsentwicklung; der Einsatz von Backdoor.Turn zusammen mit der mehrgleisigen BYOVD-Umgehung mache die Gruppe zu einer der leistungsfähigsten und hartnäckigsten derzeit aktiven Ransomware-Gruppen.