Операторы группировки DragonForce использовали кастомный бэкдор Backdoor.Turn, который маскирует связь с командным сервером под обычный трафик Microsoft Teams, используя протокол TURN и QUIC‑сессию. По данным Symantec и Carbon Black, бэкдор был применён в атаке на американскую сервисную компанию, после компрометации SQL‑сервера и последующего DLL‑sideloading. Хакеры также задействовали уязвимые подписанные драйверы (Huawei, Topaz Antifraud и др.) для получения привилегий ядра и обхода защитных решений. Backdoor.Turn позволяет выполнять команды, сканировать сеть, собирать учетные данные и готовит канал для повторного доступа.
