В 2026 году группа хакеров BO Team сместила фокус на другие отрасли и начала отходить от показательных деструктивных атак в пользу более скрытых операций, включая кибершпионаж, сообщается в новом отчёте «Лаборатории Касперского». Это подтверждает, что хактивисты становятся всё более серьёзной угрозой для российских организаций.
При изучении новой активности BO Team исследователям удалось получить доступ к исходному коду её «фирменного» бэкдора ZeronetKit, который часто используется в кибератаках на компании РФ, обнаружить ранее неизвестные вредоносные инструменты и признаки кооперации с другой группировкой, Head Mare.
По данным портала киберразведки Kaspersky Threat Intelligence Portal, с начала 2026 года злоумышленники интересуются уже не медицинскими учреждениями, а производством, нефтегазовым сектором и телеком-индустрией. Только за первый квартал насчитывается около двадцати кибератак, в том числе на эти отрасли. BO Team по-прежнему получает доступ через целевой фишинг, а для заражения использует уже известные бэкдоры BrockenDoor и ZeronetKit, а также новый ZeroSSH. Анализ показал, что инструменты группировки заметно эволюционировали и всё чаще адаптируются под конкретную цель.
Исследователи получили доступ к исходному коду одного из ключевых инструментов BO Team — бэкдора ZeronetKit. Это позволило изучить не только его функциональность и поведение в атаке, но и лучше понять внутреннее устройство: архитектуру, логику работы и основные механизмы управления заражёнными системами.
В ходе исследования были обнаружены признаки возможной кооперации BO Team с другой группировкой — Head Mare. Характер их взаимодействия остаётся неясным, однако пересечения инструментов и инфраструктуры указывают как минимум на координацию атак против российских организаций. Один из предполагаемых сценариев — многоступенчатая операция, в которой злоумышленники задействованы на разных этапах. Так, Head Mare могла отвечать за начальный вектор — например, через фишинговые рассылки. После чего BO Team использовала полученный доступ для внедрения бэкдоров и дальнейшего развития атаки.
«Мы отслеживаем активность BO Team более полутора лет. За относительно короткий срок — менее чем за год — злоумышленники существенно усилили арсенал новыми кастомными инструментами. Более того, если ранее не было достаточных подтверждений их взаимодействия с другими группировками, то новые данные о связях с Head Mare с высокой долей вероятности указывают на наличие такой кооперации. Всё это в совокупности с изменением характера кибератак подтверждает, что BO Team остаётся серьёзной угрозой на российском ландшафте», — отмечают исследователи.
Фото: Magnific