В 2026 году группа хакеров BO Team сместила фокус на другие отрасли и начала отходить от показательных деструктивных атак в пользу более скрытых операций, включая кибершпионаж, сообщается в новом отчёте «Лаборатории Касперского». Это подтверждает, что хактивисты становятся всё более серьёзной угрозой для российских организаций.
При изучении новой активности BO Team исследователям удалось получить доступ к исходному коду её «фирменного» бэкдора ZeronetKit, который часто используется в кибератаках на компании РФ, обнаружить ранее неизвестные вредоносные инструменты и признаки кооперации с другой группировкой, Head Mare.
Кибератаки BO Team в 2026 году. По данным портала киберразведки Kaspersky Threat Intelligence Portal, с начала 2026 года злоумышленники интересуются уже не медицинскими учреждениями, а производством, нефтегазовым сектором и телеком-индустрией. Только за первый квартал насчитывается около двадцати кибератак, в том числе на эти отрасли. BO Team по-прежнему получает доступ через целевой фишинг, а для заражения использует уже известные бэкдоры BrockenDoor и ZeronetKit, а также новый ZeroSSH. Анализ показал, что инструменты группировки заметно эволюционировали и всё чаще адаптируются под конкретную цель.
Бэкдор ZeronetKit изнутри. Исследователи получили доступ к исходному коду одного из ключевых инструментов BO Team — бэкдора ZeronetKit. Это позволило изучить не только его функциональность и поведение в атаке, но и лучше понять внутреннее устройство: архитектуру, логику работы и основные механизмы управления заражёнными системами.
Кооперация с Head Mare. В ходе исследования были обнаружены признаки возможной кооперации BO Team с другой группировкой — Head Mare. Характер их взаимодействия остаётся неясным, однако пересечения инструментов и инфраструктуры указывают как минимум на координацию атак против российских организаций. Один из предполагаемых сценариев — многоступенчатая операция, в которой злоумышленники задействованы на разных этапах. Так, Head Mare могла отвечать за начальный вектор — например, через фишинговые рассылки. После чего BO Team использовала полученный доступ для внедрения бэкдоров и дальнейшего развития атаки.
«Мы отслеживаем активность BO Team более полутора лет. За относительно короткий срок — менее чем за год — злоумышленники существенно усилили арсенал новыми кастомными инструментами. Более того, если ранее не было достаточных подтверждений их взаимодействия с другими группировками, то новые данные о связях с Head Mare с высокой долей вероятности указывают на наличие такой кооперации. Всё это в совокупности с изменением характера кибератак подтверждает, что BO Team остаётся серьёзной угрозой на российском ландшафте», — отмечают исследователи.
Подробный технический анализ активности BO Team опубликован на Securelist.ru.
Защитные решения «Лаборатории Касперского», такие как Kaspersky Endpoint Detection and Response Expert, успешно обнаруживают вредоносную активность в рамках описанных атак и детектируют её в том числе как: Backdoor.Win64.BrockenDoor.sb, Trojan.Win64.ZeronetKit.gen, Trojan.Linux.ZeronetKit.gen.
Эксперты «Лаборатории Касперского» продолжают отслеживать активность BO Team и для защиты от этой киберугрозы рекомендуют организациям:
- предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence;
- применять комплексные защитные решения, такие как Kaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности;
- обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги, например на онлайн-платформе Kaspersky Automated Security Awareness Platform.
Источник: пресс-служба «Лаборатории Касперского»
