В 2026 году у группировки BO Team появились новые мишени

В 2026 году группа хакеров BO Team сместила фокус на другие отрасли и начала отходить от показательных деструктивных атак в пользу более скрытых операций, включая кибершпионаж, сообщается в новом отчете «Лаборатории Касперского». Это подтверждает, что хактивисты становятся все более серьезной угрозой для российских организаций.

При изучении новой активности BO Team исследователям удалось получить доступ к исходному коду ее «фирменного» бэкдора ZeronetKit, который часто используется в кибератаках на компании РФ, обнаружить ранее неизвестные вредоносные инструменты и признаки кооперации с другой группировкой, Head Mare.

Кибератаки BO Team в 2026 году. По данным портала киберразведки Kaspersky Threat Intelligence Portal, с начала 2026 года злоумышленники интересуются уже не медицинскими учреждениями, а производством, нефтегазовым сектором и телеком-индустрией. Только за первый квартал насчитывается около двадцати кибератак, в том числе на эти отрасли. BO Team по-прежнему получает доступ через целевой фишинг, а для заражения использует уже известные бэкдоры BrockenDoor и ZeronetKit, а также новый ZeroSSH. Анализ показал, что инструменты группировки заметно эволюционировали и все чаще адаптируются под конкретную цель.

Бэкдор ZeronetKit изнутри. Исследователи получили доступ к исходному коду одного из ключевых инструментов BO Team — бэкдора ZeronetKit. Это позволило изучить не только его функциональность и поведение в атаке, но и лучше понять внутреннее устройство: архитектуру, логику работы и основные механизмы управления зараженными системами.

Кооперация с Head Mare. В ходе исследования были обнаружены признаки возможной кооперации BO Team с другой группировкой — Head Mare. Характер их взаимодействия остается неясным, однако пересечения инструментов и инфраструктуры указывают как минимум на координацию атак против российских организаций. Один из предполагаемых сценариев — многоступенчатая операция, в которой злоумышленники задействованы на разных этапах. Так, Head Mare могла отвечать за начальный вектор — например, через фишинговые рассылки. После чего BO Team использовала полученный доступ для внедрения бэкдоров и дальнейшего развития атаки.

«Мы отслеживаем активность BO Team более полутора лет. За относительно короткий срок — менее чем за год — злоумышленники существенно усилили арсенал новыми кастомными инструментами. Более того, если ранее не было достаточных подтверждений их взаимодействия с другими группировками, то новые данные о связях с Head Mare с высокой долей вероятности указывают на наличие такой кооперации. Все это в совокупности с изменением характера кибератак подтверждает, что BO Team остается серьезной угрозой на российском ландшафте», — отмечают исследователи.

Защитные решения «Лаборатории Касперского» обнаруживают вредоносную активность в рамках описанных атак и детектируют ее в том числе как: Backdoor.Win64.BrockenDoor.sb, Trojan.Win64.ZeronetKit.gen, Trojan.Linux.ZeronetKit.gen.

Эксперты «Лаборатории Касперского» продолжают отслеживать активность BO Team и для защиты от этой киберугрозы рекомендуют организациям:

• предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников;
• применять комплексные защитные решения, которые позволят выстроить гибкую и эффективную систему безопасности;
• обучать сотрудников цифровой грамотности.