Группировка BO Team в 2026 году переключилась на производство и нефтегазовый сектор РФ

В 2026 году хакерская группировка BO Team сместила фокус на другие отрасли и начала отходить от показательных деструктивных атак в пользу более скрытых операций, включая кибершпионаж, сообщили SecPost в компании «Лаборатория Касперского».

При изучении недавней активности BO Team исследователям удалось получить доступ к исходному коду её бэкдора ZeronetKit, обнаружить ранее неизвестные вредоносные инструменты, а также проанализировать его функциональность, поведение в атаке, архитектуру, логику работы и механизмы управления заражёнными системами.

Согласно данным портала киберразведки Kaspersky Threat Intelligence Portal, теперь группировка интересуется производством, нефтегазовым сектором и телекомом, тогда как основными целями в конце 2025 года были медучреждения. Только за первый квартал насчитывается около двадцати кибератак. BO Team по-прежнему получает доступ через целевой фишинг, а для заражения использует бэкдоры BrockenDoor, ZeronetKit, а также новый ZeroSSH. Как отмечается в сообщении, инструменты группировки эволюционировали и чаще адаптируются под конкретную цель.

Как рассказали в компании «Лаборатория Касперского», в ходе исследования обнаружены признаки возможного пересечения активности BO Team с группировкой Head Mare. Характер взаимодействия остаётся неясным, однако пересечения инструментов и инфраструктуры указывают на координацию атак против российских организаций. Один из предполагаемых сценариев — многоступенчатая операция, в которой Head Mare могла отвечать за начальный вектор (фишинговые рассылки), после чего BO Team использовала полученный доступ для внедрения бэкдоров и дальнейшего развития атаки.

Кибербезопасность для малого и среднего бизнеса — «чужая забота», а хакеры охотятся только за гигантами?

Лица