DragonForce

报告编号: TIR-2026-0701-015 | 分类等级: TLP:AMBER | 发布日期: 2026年7月1日 | 情报来源: 多源交叉验证(OSINT + Trend Micro + Symantec/Broadcom + Group-IB + SentinelOne + Darktrace + Cybereason + S2W TALON + The DFIR Report + Halcyon Q2-2025)


一、执行摘要

DragonForce(Trend Micro 追踪代号:Water Tambanakua,Symantec 追踪代号:Hackledorb)是2023年8月崛起的高危勒索软件即服务(RaaS)组织,已从最初的 LockBit 3.0 克隆体演化为基于 Conti V3 代码库的高度定制化勒索平台。2025年正式转型为勒索软件**“卡特尔”(Cartel)**,允许附属机构创建自有品牌,成为当前全球最具技术能力的勒索组织之一。

截至2026年6月,DragonForce 已累计确认 579 个受害者,攻击覆盖制造业、零售、医疗、建筑、IT 等关键行业。该组织最显著的技术创新是首个滥用 Microsoft Teams TURN 中继基础设施进行 C2 通信的恶意软件(Backdoor.Turn),以及大规模使用 **BYOVD(自带脆弱驱动)**技术获取内核级权限终止安全进程。2025年4-6月,联合 Scattered Spider 对英国多家知名零售商(哈罗德百货、玛莎百货、合作社)发动高调攻击。

关键发现

维度关键指标
组织规模579+ 受害者
首要目标美国、英国、德国、澳大利亚、意大利
加密方式ChaCha8 + AES 混合加密;多平台(Win/Linux/ESXi/BSD/NAS)
代码基础LockBit 3.0(早期)→ Conti V3(当前主要变体)
商业模式卡特尔模式(80/20分成,白标服务,数据分析服务)
关联组织Scattered Spider、BlackLock、RansomHub、Play、LockBit
技术创新Backdoor.Turn(首个 Teams TURN 中继 C2)、BYOVD 多驱动利用
解密可能性不存在(无公开解密工具)
当前状态活跃(2026年持续攻击,Frontrunner Q2-2025)

威胁等级评估

评估维度等级说明
技术能力🔴 极高双代码库、BYOVD 多驱动、Backdoor.Turn、多平台加密
运营成熟度🔴 极高卡特尔模式、白标服务、数据分析服务、PETABYTES 级存储
攻击规模🔴 极高579+ 受害者,英国零售高调攻击
目标针对性🔴 极高年收入 ≥ $1500万组织为主要目标
数据泄露风险🔴 极高双重勒索 + SSH/FTP 外传至俄罗斯基础设施

二、威胁行为者画像

2.1 组织标识

属性
官方名称DragonForce
别名Water Tambanakua(Trend Micro)、Hackledorb(Symantec)
组织类型卡特尔模式 RaaS
活跃周期2023年8月 – 至今
主要语言英语(勒索信/谈判)、俄语(内部通信)
地理归属俄语地区(高置信度);数据外传至俄罗斯基础设施
攻击目标全球(美/英/德/澳/意为主)
动机经济利益

2.2 组织演化时间线

2023.08    DragonForce 勒索活动首次被发现
           使用泄露的 LockBit 3.0 builder
    ↓
2023.12    BreachForums 发布数据泄露站点(DLS)
    ↓
2024.06    RAMP 论坛招募附属,80% 赎金分成
    ↓
2024.07    发布基于 Conti V3 的自研变体
    ↓
2025.01    转型为"卡特尔",允许附属创建自有品牌
    ↓
2025.03    入侵 BlackLock(Mamona)DLS
    ↓
2025.04-06 联合 Scattered Spider 攻击英国零售(Harrods/M&S/Co-op)
    ↓
2025.08    推出"数据分析服务"(目标年收入 ≥ $1500万)
    ↓
2025.12    Backdoor.Turn 首次出现(Teams TURN 中继 C2)
    ↓
2026.04    声称吞并 RansomHub 基础设施

三、归因分析

3.1 地理归属

证据类型详情置信度
数据外传SSH 传输至俄罗斯境内恶意托管基础设施
论坛活动RAMP 论坛招募,俄语暗网生态
C2 基础设施俄罗斯 ASN 关联 IP中-高
起源争议部分报告关联马来西亚黑客活动团体(已否认)

3.2 关联组织网络

┌──────────────────────────────────────────────────────┐
│           DragonForce 关联组织网络                     │
├──────────────────────────────────────────────────────┤
│                                                        │
│  ┌─────────────────┐                                  │
│  │ DragonForce 核心 │ 卡特尔模式 RaaS                  │
│  │(LockBit+Conti) │ 80/20 分成                      │
│  └────────┬────────┘                                  │
│           │                                            │
│           ├──→ Scattered Spider(初始访问合作)        │
│           │    英国零售攻击中充当 IAB                   │
│           │                                            │
│           ├──→ BlackLock / Mamona(被吞并)            │
│           │    2025.03 入侵其 DLS                      │
│           │                                            │
│           ├──→ RansomHub(被吞并)                     │
│           │    2026.04 声称吞并基础设施                │
│           │                                            │
│           ├──→ Play(附属重叠)                        │
│           │    同一附属同时为两者工作                   │
│           │                                            │
│           └──→ DevMan(生态衍生)                      │
│                DragonForce 代码衍生变体                │
│                                                        │
└──────────────────────────────────────────────────────┘

四、技术能力评估

4.1 加密方案

属性
对称加密ChaCha8 + AES
加密模式完全加密 / 头部加密 / 部分加密(可配置)
元数据每个加密文件末尾附加 534 字节
多平台Windows / Linux / ESXi / BSD / NAS
文件扩展名.RNP / .df_win / .dragonforce_encrypted / .RNP_esxi / .locked
勒索信readme.txt / Contact Us.txt

4.2 BYOVD 技术矩阵

驱动文件关联 CVE来源
HWAuidoOs2Ec.sys未公开(2026.03 Huntress 披露)华为音频驱动
wsftprm.sysCVE-2023-52271Topaz Antifraud
Gamedriverx64.sysCVE-2025-61155Tower of Fantasy 游戏
K7RKScan.sysCVE-2025-1055K7 Security 反恶意软件
truesight.sys / rentdrv2.sys内置于勒索软件配置
Abyss Worker 驱动伪装为 Palo Alto Networks 驱动

4.3 Backdoor.Turn(技术创新)

┌──────────────────────────────────────────────────────┐
│        Backdoor.Turn — 首个 Teams TURN 中继 C2        │
├──────────────────────────────────────────────────────┤
│                                                        │
│  工作原理:                                            │
│  1. 从 Microsoft Skype 身份服务获取匿名 Teams 访客令牌 │
│  2. 使用合法 Microsoft TURN 中继服务器建立连接         │
│  3. 通过中继辅助建立直达攻击者 C2 的 QUIC 会话        │
│  4. 所有流量仅显示为合法 Microsoft Teams 出站连接      │
│                                                        │
│  功能:                                                │
│  ├── 命令执行与进程创建                                │
│  ├── 网络扫描(TLS 证书/网页标题收集)                 │
│  ├── LDAP/Active Directory 侦察                       │
│  ├── 基于凭据的横向移动                                │
│  └── 浏览器凭据窃取                                    │
│                                                        │
│  部署:注入到合法 DbgView64.exe 进程                   │
│  语言:Go                                              │
│                                                        │
└──────────────────────────────────────────────────────┘

五、攻击链分析

5.1 初始访问

技术MITRE ATT&CK详情
钓鱼邮件T1566社会工程策略
漏洞利用T1190CVE-2021-44228(Log4Shell)、CVE-2023-46805/2024-21887/2024-21893(Ivanti)、CVE-2024-21412(SmartScreen 绕过)
RDP 凭证填充T1133暴力破解或凭证泄露利用
IAB 购买T1650从初始访问经纪人购买

5.2 执行与持久化

技术MITRE ATT&CK详情
DLL 侧加载T1574.002VirtualBox/DbgView64.exe 加载恶意 vboxrt.dll
进程注入T1055MSBuild.exe 进程注入
多阶段部署T1105SectopRAT → SystemBC → Betruger → DragonForce
计划任务T1053持久化访问
防火墙规则修改T1562.004确保 C2 通信畅通

5.3 凭证窃取(四种并行手段)

技术MITRE ATT&CK详情
SectopRAT 信息窃取T1555Steam/Discord/Telegram/浏览器/加密钱包
Veeam 数据库转储T1003PowerShell 解密备份服务器密码
DCSync 攻击T1003.006域控制器同步攻击
LSASS 内存访问T1003.001Mimikatz/Betruger 凭证收割

5.4 横向移动

技术MITRE ATT&CK详情
RDPT1021.001远程桌面
Impacket wmiexecT1047WMI 远程执行
SystemBC 代理隧道T1090代理隧道
SMBT1021.002IOCP 网络模式加密
Cobalt StrikeT1071C2 框架

5.5 数据外传

技术MITRE ATT&CK详情
SSHT1048传输至俄罗斯托管基础设施
FTP(明文)T1048数据外传
Backdoor.TurnT1071Teams TURN 中继隐蔽窃取

5.6 防御规避与影响

技术MITRE ATT&CK详情
BYOVDT1068多驱动获取内核级权限
Teams TURN 中继T1071伪装为合法 Teams 流量
字符串混淆T1027运行时解密自定义算法
清除日志T1070.001删除 Windows 事件日志
干运行模式T1497不实际加密用于测试
数据加密T1486ChaCha8 + AES 混合加密
删除卷影副本T1490阻止恢复

六、受害者分析

6.1 规模与地理分布

指标
确认受害者579+
首要国家美国、英国、德国、澳大利亚、意大利
其他目标加拿大、法国、西班牙、中国、马来西亚

6.2 行业分布

行业优先级说明
制造业🔴 首要最高频目标
商业服务🔴 高专业服务
科技🔴 高IT 服务商
建筑🟠 高建筑公司
零售🔴 极高英国零售高调攻击(Harrods/M&S/Co-op)
医疗🟠 高医疗机构

6.3 重大攻击事件

时间受害者影响
2025.04-06Harrods / M&S / Co-op(英国)联合 Scattered Spider 高调攻击
2025帕劳政府政府机构遭攻击
2025可口可乐新加坡跨国企业遭攻击
2025俄亥俄州彩票政府机构
2025养乐多澳大利亚跨国企业

七、卡特尔运营模式分析

7.1 组织架构

┌──────────────────────────────────────────────────────┐
│           DragonForce 卡特尔架构                       │
├──────────────────────────────────────────────────────┤
│                                                        │
│  ┌──────────────────┐                                │
│  │ 核心平台           │ 基础设施维护                   │
│  │ 20% 分成           │ 加密工具开发                   │
│  │                    │ PETABYTES 级存储               │
│  └────────┬─────────┘                                │
│           │                                            │
│           ├──→ 附属机构(80% 分成)                    │
│           │    ├── 白标服务(创建独立品牌)            │
│           │    ├── 项目制运营(高度自治)              │
│           │    └── 数据分析服务($1500万+目标)        │
│           │                                            │
│           └──→ 被吞并组织                              │
│                ├── BlackLock(2025.03)                │
│                └── RansomHub(2026.04)                │
│                                                        │
└──────────────────────────────────────────────────────┘

八、IOC 完整列表

8.1 网络指标

类型说明
扩展名.RNP / .df_win / .dragonforce_encrypted / .RNP_esxi / .locked加密文件扩展名
文件readme.txt / Contact Us.txt勒索信
文件df.exeDragonForce 勒索软件可执行文件
文件socks.exeSystemBC 后门
文件ccs.exeBetruger 后门
文件vboxrt.dllDLL 侧加载恶意载荷
文件HWAuidoOs2Ec.sysBYOVD 华为音频驱动
文件wsftprm.sysBYOVD Topaz 驱动
文件Gamedriverx64.sysBYOVD 游戏驱动
工具SectopRAT信息窃取 RAT
工具SystemBC代理隧道后门
工具Betruger多功能后门
工具Backdoor.TurnTeams TURN 中继 C2
工具Cobalt StrikeC2 框架
工具Mimikatz凭证窃取

8.2 文件哈希

类型哈希值
SHA2561ccf8baf11427fae273ffed587b41c857fa2d8f3d3c6c0ddaa1fe4835f665eba
SHA256f5df98b344242c5eaad1fce421c640fadd71f7f21379d2bf7309001dfeb25972
SHA25624e8ef41ead6fc45d9a7ec2c306fd04373eaa93bbae0bd1551a10234574d0e07
MD53a6e2c775c9c1060c54a9a94e80d923a
MD574a97d25595ad73129fa946dc3156cec

8.3 被利用漏洞

CVE影响组件说明
CVE-2021-44228Log4ShellApache Log4j RCE
CVE-2023-46805Ivanti Connect Secure认证绕过
CVE-2024-21887Ivanti Connect SecureRCE
CVE-2024-21893Ivanti Policy SecureRCE
CVE-2024-21412Windows SmartScreen安全功能绕过
CVE-2023-52271Topaz Antifraud 驱动BYOVD
CVE-2025-61155Tower of Fantasy 游戏驱动BYOVD
CVE-2025-1055K7 Security 驱动BYOVD

8.4 攻击工具链

钓鱼 / 漏洞利用(Log4Shell/Ivanti)/ RDP 凭证填充 / IAB 购买
    ↓
SectopRAT → SystemBC → Betruger(多阶段部署)
    ↓
DLL 侧加载(VirtualBox/DbgView64 → vboxrt.dll)
    ↓
四种凭证窃取(SectopRAT/Veeam/DCSync/LSASS)
    ↓
RDP / Impacket wmiexec / SystemBC 隧道 / SMB / Cobalt Strike(横向移动)
    ↓
SSH / FTP / Backdoor.Turn(数据外传至俄罗斯)
    ↓
BYOVD(多驱动终止安全进程)
    ↓
DragonForce 载荷(ChaCha8+AES 加密 + 多平台)

九、检测规则

9.1 Sigma 规则

规则 1:DragonForce BYOVD 驱动加载

title: DragonForce - BYOVD Vulnerable Driver Loading
id: df001-byovd-driver-load
status: experimental
description: 检测 DragonForce 使用 BYOVD 技术加载已知脆弱驱动
logsource:
  category: driver_load
  product: windows
detection:
  selection:
    ImageLoaded|endswith:
      - '\HWAuidoOs2Ec.sys'
      - '\wsftprm.sys'
      - '\Gamedriverx64.sys'
      - '\K7RKScan.sys'
      - '\truesight.sys'
      - '\rentdrv2.sys'
  condition: selection
level: critical
tags:
  - attack.defense_evasion
  - attack.t1068

规则 2:DragonForce DLL 侧加载

title: DragonForce - DLL Sideloading via DbgView64
id: df002-dll-sideloading
status: experimental
description: 检测通过 DbgView64.exe 侧加载恶意 DLL 的行为
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    ParentImage|endswith: '\DbgView64.exe'
    Image|endswith:
      - '\rundll32.exe'
      - '\regsvr32.exe'
  condition: selection
level: critical
tags:
  - attack.privilege_escalation
  - attack.t1574.002

规则 3:DragonForce Teams TURN 中继异常

title: DragonForce - Abnormal Microsoft Teams TURN Relay
id: df003-teams-turn-relay
status: experimental
description: 检测异常的 Microsoft Teams TURN 中继连接(可能的 Backdoor.Turn)
logsource:
  category: network_connection
  product: windows
detection:
  selection:
    Image|endswith: '\DbgView64.exe'
    DestinationPort: 443
    Protocol: 'quic'
  condition: selection
level: high
tags:
  - attack.command_and_control
  - attack.t1071

9.2 YARA 规则

rule DragonForce_Ransomware {
    meta:
        description = "检测 DragonForce 勒索软件载荷"
        author = "Threat Intelligence Team"
        date = "2026-07-01"
        reference = "Water Tambanakua / Hackledorb"
    strings:
        $s1 = ".RNP" ascii
        $s2 = ".df_win" ascii
        $s3 = ".dragonforce_encrypted" ascii
        $s4 = "readme.txt" ascii
        $s5 = "DragonForce" ascii
        $s6 = "vssadmin delete shadows" ascii
        $hex1 = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 }
    condition:
        3 of ($s*) and $hex1
}

十、风险评估矩阵

风险维度评分说明
加密强度9/10ChaCha8 + AES 混合,多平台,534字节元数据
传播能力8/10卡特尔模式 + 白标服务 + 吞并 RansomHub
规避能力10/10BYOVD 多驱动 + Teams TURN 中继 + 字符串混淆
数据泄露威胁9/10双重勒索 + SSH/FTP 外传至俄罗斯
漏洞利用能力9/10Log4Shell/Ivanti/SmartScreen 多 CVE
基础设施韧性9/10吞并 BlackLock + RansomHub,无单一打击点
综合风险🔴 极高卡特尔模式 + Backdoor.Turn + 英国零售高调攻击

十一、缓解建议

11.1 即时行动

  1. BYOVD 防护:审计系统中是否存在已知脆弱驱动,启用驱动允许列表
  2. Teams 流量监控:对 Microsoft Teams TURN 中继流量建立基线,检测异常 QUIC 会话
  3. Ivanti 修补:立即修复 CVE-2023-46805/2024-21887/2024-21893
  4. 封锁 IOC:在防火墙/EDR 中封锁所有已知哈希和扩展名

11.2 短期加固

  1. 强制 MFA:所有远程访问启用多因素认证
  2. 网络分段:限制 SMB/RDP 跨网段横向传播
  3. DCSync 检测:监控 Windows Security Event ID 4662
  4. 备份隔离:确保备份不连接至受感染网络

11.3 长期策略

  1. 代码完整性策略:阻止未签名/已知脆弱驱动加载
  2. 威胁狩猎:定期扫描 LSASS 访问、计划任务注册表修改
  3. 漏洞管理:优先修补公共面向应用

11.4 解密恢复路径

维度详情
解密器状态无公开解密工具
加密强度ChaCha8 + AES 混合,密码学强度极高
建议优先从备份恢复;联系执法部门报告

十二、核心建议

  1. BYOVD 是最大威胁:DragonForce 利用6种以上脆弱驱动获取内核权限,组织必须实施驱动程序白名单策略
  2. Teams TURN 中继无法简单封锁:Backdoor.Turn 伪装为合法 Teams 流量,需建立行为基线而非简单阻断
  3. 卡特尔模式加速碎片化:白标服务使归因更加困难,防御者需关注行为模式而非品牌名称
  4. 吞并策略扩大威胁面:吞并 BlackLock 和 RansomHub 后,DragonForce 控制的基础设施和附属网络大幅扩展
  5. 英国零售攻击是转折点:与 Scattered Spider 合作的高调攻击表明 DragonForce 具备针对全球顶级品牌的能力

十三、附录

附录 A:信息来源

编号来源日期
[1]Trend Micro: DragonForce Ransomware Analysis2024-2025
[2]Symantec/Broadcom: Hackledorb Analysis2024-2025
[3]Group-IB: DragonForce Cartel Model2025
[4]SentinelOne: DragonForce TTPs2025
[5]Darktrace: Backdoor.Turn Discovery2025.12
[6]The DFIR Report: DragonForce Case Study2025
[7]S2W TALON: DragonForce Infrastructure2025
[8]Halcyon: Q2-2025 Ransomware Power Rankings2025
[9]Huntress: BYOVD Driver Disclosure2026.03
[10]BleepingComputer: DragonForce UK Retail Attacks2025

附录 B:术语表

术语定义
BYOVDBring Your Own Vulnerable Driver,自带易受攻击驱动程序
Backdoor.Turn首个滥用 Microsoft Teams TURN 中继的 C2 后门
卡特尔模式允许附属创建独立品牌的 RaaS 升级模式
白标服务附属机构在平台基础设施下创建独立品牌运营
SectopRATDragonForce 使用的信息窃取远程访问木马
BetrugerDragonForce 使用的多功能后门工具

附录 C:追踪计划

维度说明
组织状态活跃(Frontrunner Q2-2025)
卡特尔演化监控更多组织被吞并或加入卡特尔
BYOVD 演化关注新型脆弱驱动利用
Backdoor.Turn监控 Teams TURN 中继滥用趋势
附属重叠追踪 Play/RansomHub/DragonForce 附属交叉
解密工具关注是否有公开解密工具发布