KongTuke wykorzystuje Microsoft Teams do uzyskiwania dostępu do sieci firmowych - Security Bez Tabu

KongTuke wykorzystuje Microsoft Teams do uzyskiwania dostępu do sieci firmowych

Cybersecurity news

Wprowadzenie do problemu / definicja

Grupa KongTuke, klasyfikowana jako broker dostępu początkowego, zmieniła taktykę i zaczęła wykorzystywać Microsoft Teams do socjotechnicznego uzyskiwania dostępu do środowisk korporacyjnych. Tego typu aktorzy nie zawsze odpowiadają za końcowy etap ataku, lecz koncentrują się na przełamaniu pierwszej linii obrony, utrwaleniu obecności w sieci i przygotowaniu infrastruktury pod dalsze działania przestępcze, w tym kradzież danych, ruch lateralny lub wdrożenie ransomware.

W skrócie

Kampania opisana 14 maja 2026 r. pokazuje, że KongTuke rozszerzył wcześniejsze techniki o komunikację przez Microsoft Teams. Atak polega na podszywaniu się pod dział IT lub helpdesk i nakłanianiu ofiary do uruchomienia polecenia PowerShell.

Skrypt pobiera archiwum ZIP, uruchamia przenośne środowisko WinPython i wdraża złośliwe oprogramowanie ModeloRAT. Badacze wskazują, że operator był w stanie przejść od pierwszego kontaktu do trwałego przyczółka w mniej niż pięć minut, a kampania miała być aktywna co najmniej od kwietnia 2026 r.

Kontekst / historia

KongTuke był wcześniej łączony z przynętami opartymi o techniki webowe, w tym schematami nakłaniającymi użytkownika do samodzielnego wykonania komendy lub pozornie naprawczego działania. Obecne wykorzystanie platformy kolaboracyjnej wpisuje się w szerszy trend nadużywania legalnych kanałów komunikacji biznesowej do prowadzenia phishingu i ataków typu helpdesk impersonation.

Zmiana jest istotna z dwóch powodów. Po pierwsze, Microsoft Teams jest dla wielu organizacji narzędziem zaufanym i codziennie używanym przez pracowników, co obniża poziom czujności. Po drugie, atak nie wymaga klasycznego załącznika e-mail ani linku do witryny phishingowej. Zamiast tego ofiara sama uruchamia polecenie w systemie, omijając część mechanizmów bezpieczeństwa nastawionych na wykrywanie tradycyjnych wektorów wejścia.

Według opublikowanych informacji operatorzy mieli rotować przez kilka dzierżaw Microsoft 365, aby utrudnić blokowanie i zwiększyć żywotność kampanii. Dodatkowo stosowano manipulację nazwą wyświetlaną z użyciem znaków białych Unicode, aby konto sprawiało wrażenie wewnętrznego kontaktu technicznego.

Analiza techniczna

Mechanizm ataku opiera się na kombinacji socjotechniki, nadużycia legalnej platformy komunikacyjnej oraz wieloetapowego łańcucha uruchamiania malware.

  • Atakujący inicjuje zewnętrzny czat w Microsoft Teams.
  • Podszywa się pod wsparcie IT lub helpdesk.
  • Nakłania użytkownika do skopiowania i uruchomienia komendy PowerShell.
  • Komenda pobiera zewnętrzne archiwum ZIP.
  • W archiwum znajduje się przenośne środowisko WinPython.
  • Następuje uruchomienie komponentu ModeloRAT, identyfikowanego m.in. jako Pmanager.py.
  • Malware zbiera informacje o systemie i użytkowniku, wykonuje zrzuty ekranu oraz może eksfiltrować pliki.
  • Równolegle wdrażane są mechanizmy utrzymania dostępu.

Szczególnie niepokojąca jest dojrzałość techniczna nowszej wersji ModeloRAT. Opisane warianty posiadają bardziej odporną architekturę C2 z pulą wielu serwerów, mechanizmami failover, losowaniem ścieżek URL oraz funkcją samodzielnej aktualizacji. Oznacza to, że blokada pojedynczego adresu lub domeny może nie wystarczyć do skutecznego odcięcia komunikacji.

Drugim istotnym elementem jest redundancja kanałów dostępu. Oprócz podstawowego RAT-a operator może utrzymywać reverse shell oraz tylną furtkę TCP na odseparowanej infrastrukturze. Z perspektywy obrony oznacza to, że wykrycie i usunięcie jednego komponentu nie gwarantuje pełnej neutralizacji incydentu.

Trzecim obszarem jest persystencja. Wskazywano na wykorzystanie kluczy Run, skrótów w folderze Startup, launcherów VBScript oraz zadań harmonogramu uruchamianych z uprawnieniami SYSTEM. To właśnie zadanie harmonogramu ma stanowić szczególny problem operacyjny, ponieważ może przetrwać reboot systemu i nie być usuwane przez rutynę autodestrukcji pozostałych artefaktów.

Konsekwencje / ryzyko

Ryzyko wynikające z tej kampanii jest wysokie, ponieważ łączy wiarygodny kanał komunikacji z bardzo krótkim czasem potrzebnym do uzyskania trwałego dostępu. W praktyce zespół bezpieczeństwa może mieć zaledwie kilka minut na wykrycie nieautoryzowanego kontaktu, uruchomienia PowerShell i pobrania kolejnych komponentów.

Dla organizacji oznacza to kilka klas zagrożeń:

  • przejęcie stacji roboczej użytkownika końcowego,
  • kradzież danych lokalnych i ekranów,
  • uzyskanie przyczółka do ruchu lateralnego,
  • przygotowanie środowiska pod dalszy atak ransomware,
  • nadużycie zaufania do komunikacji wewnętrznej i procesów wsparcia IT.

Dodatkowym problemem jest fakt, że taki model ataku może omijać część dojrzałych zabezpieczeń poczty elektronicznej. Jeśli organizacja koncentruje detekcję głównie na e-mailach, załącznikach i URL-ach, aktywność prowadzona przez Teams oraz polecenia wykonywane manualnie przez użytkownika mogą wygenerować późny lub niepełny sygnał ostrzegawczy.

Rekomendacje

W odpowiedzi na ten typ zagrożenia organizacje powinny potraktować platformy współpracy jako pełnoprawny wektor ataku i objąć je takimi samymi kontrolami jak pocztę oraz zdalny dostęp.

  • ograniczyć lub ściśle kontrolować federację zewnętrzną w Microsoft Teams,
  • stosować listy dozwolonych dzierżaw i blokować nieautoryzowane kontakty zewnętrzne,
  • wdrożyć alertowanie dla uruchomień PowerShell inicjowanych po aktywności w Teams,
  • monitorować pobieranie archiwów ZIP i uruchamianie przenośnych interpreterów Python,
  • wykrywać tworzenie kluczy Run, skrótów Startup, launcherów VBScript i zadań harmonogramu,
  • blokować wykonywanie niepodpisanych lub nietypowych skryptów w kontekście użytkownika,
  • egzekwować zasadę, że dział IT nigdy nie prosi pracownika o ręczne wklejanie komend z czatu,
  • prowadzić szkolenia awareness obejmujące podszywanie się pod helpdesk w narzędziach kolaboracyjnych,
  • zintegrować logi z Microsoft 365, endpointów i proxy w jednym procesie detekcji,
  • przygotować procedurę IR obejmującą izolację hosta, przegląd artefaktów persystencji i kontrolę kont Microsoft 365.

Z operacyjnego punktu widzenia warto także tworzyć reguły huntingowe dla sekwencji zdarzeń: zewnętrzny czat w Teams, uruchomienie PowerShell, pobranie archiwum, wykonanie procesu Python oraz utworzenie zadania harmonogramu. Taki model korelacyjny może znacząco skrócić czas wykrycia.

Podsumowanie

Przypadek KongTuke pokazuje, że granica między narzędziem produktywności a powierzchnią ataku praktycznie zanika. Wykorzystanie Microsoft Teams do socjotechniki i wdrożenia ModeloRAT potwierdza, że napastnicy konsekwentnie przenoszą się tam, gdzie pracownicy mają najwyższy poziom zaufania i gdzie klasyczne filtry bezpieczeństwa działają słabiej.

Dla zespołów bezpieczeństwa kluczowy wniosek jest prosty: ochrona przed phishingiem nie może być już ograniczana do poczty elektronicznej. W 2026 r. równie istotne staje się monitorowanie platform współpracy, kontrola wykonywania skryptów oraz szybkie wykrywanie mechanizmów persystencji po stronie endpointu.

Źródła

  1. BleepingComputer — KongTuke hackers now use Microsoft Teams for corporate breaches — https://www.bleepingcomputer.com/news/security/kongtuke-hackers-now-use-microsoft-teams-for-corporate-breaches/
  2. ReliaQuest — What’s Trending: Top Cyber Attacker Techniques, December 2025–February 2026 — https://reliaquest.com/blog/threat-spotlight-whats-trending-top-cyber-attacker-techniques-december-2025-february-2026/
  3. ReliaQuest — Are Former Black Basta Affiliates Automating Executive Targeting? — https://reliaquest.com/blog/threat-spotlight-are-former-black-basta-affiliates-automating-executive-targeting/