Теперь аналитики знают о BO Team почти всё.
BO Team за год заметно изменила подход к атакам на российские организации. Группировка меньше похожа на шумных хактивистов с показательной порчей инфраструктуры и всё больше действует как команда для скрытых операций, включая кибершпионаж. В 2026 году интерес сместился к производству, нефтегазовому сектору и телеком-индустрии, говорится в новом отчёте Касперского.
Раньше BO Team чаще связывали с атаками на медицинские учреждения, но свежие данные компании показывают другую картину. Только за первый квартал 2026 года исследователи насчитали около 20 атак, в том числе против промышленных, нефтегазовых и телекоммуникационных компаний.
Первичный доступ злоумышленники по-прежнему получают через целевой фишинг. Для закрепления в инфраструктуре BO Team использует известные бэкдоры BrockenDoor и ZeronetKit, а также новый инструмент ZeroSSH. Анализ показал, что арсенал группировки стал гибче: вредоносные программы чаще дорабатываются под конкретную цель, а сами операции выглядят менее демонстративными и более подготовленными.
Во время исследования специалисты получили доступ к исходному коду ZeronetKit, одного из ключевых бэкдоров BO Team. Код помог изучить архитектуру инструмента, логику управления заражёнными системами и поведение вредоноса внутри атаки. Для защитников инфраструктуры разбор важен не меньше списка индикаторов компрометации: исходники показывают, как именно группировка строит операции и какие возможности закладывает в собственные инструменты.
Мы в MAX. Простите.
Исследователи также нашли признаки возможной кооперации BO Team с группировкой Head Mare. Точный формат взаимодействия пока неясен, но пересечения в инструментах и инфраструктуре указывают как минимум на координацию атак против российских организаций. Один из вероятных вариантов выглядит как многоступенчатая операция: Head Mare могла обеспечивать начальный доступ, например через фишинговые рассылки, а BO Team затем внедряла бэкдоры и развивала атаку внутри сети.
Эксперты компании отслеживает активность BO Team больше полутора лет. За короткий срок группировка усилила арсенал кастомными инструментами, изменила набор целей и, вероятно, начала взаимодействовать с другими командами. Совокупность признаков говорит о более опасной модели: вместо единичных громких инцидентов BO Team всё чаще выбирает скрытое проникновение, сбор данных и длительную работу в инфраструктуре жертв.