В сентябре 2025 года специалисты «Лаборатории Касперского» зафиксировали очередную целевую кампанию со стороны хактивистской группировки BO Team. На этот раз атакующие сосредоточились на российских организациях, рассылая фишинговые письма с упором на тему добровольного медицинского страхования. В архиве, прикреплённом к письму, находился обновлённый вредоносный бэкдор BrockenDoor — теперь он полностью переписан на C# и упакован в зашифрованный архив, что значительно усложняет его выявление средствами защиты.
Группа BO Team, также известная под псевдонимами Black Owl, Hoody Hyena и Lifting Zmiy, начала активную деятельность в начале 2024 года. Её специализация — разрушение ИТ-инфраструктуры, а в ряде случаев — шифрование данных и вымогательство. Основные цели — госсектор и крупные коммерческие структуры, при этом ключевой задачей злоумышленников остаётся нанесение максимального ущерба.
По данным исследователей, в новых атаках использовались фишинговые письма с индивидуально составленными легендами. В одном из кейсов утверждалось, что зафиксированы признаки злоупотреблений страховым полисом ДМС. Вложенный архив содержал файл с расширением .exe, маскированный под PDF-документ. Между именем файла и расширением злоумышленники вставляли множество пробелов, чтобы скрыть исполняемую природу содержимого. Пароль к архиву указывался в тексте письма, что позволяло обходить автоматические антивирусные проверки.
После запуска вредонос отображал документ-приманку, оформленный как внутренний служебный протокол. При этом, как уточняют аналитики, вредонос активируется только на системах с русской раскладкой клавиатуры, что говорит о строго локальной направленности атаки.
Технический анализ показал, что новая версия BrockenDoor получила переработанный код и минималистичную структуру команд. Вредонос связывается с удалённым сервером, передаёт базовую информацию о системе жертвы, после чего может получить дальнейшие инструкции, в зависимости от выявленного содержимого. Например, список файлов с рабочего стола может послужить триггером для развёртывания дополнительных этапов атаки.
Кроме того, в рамках этой кампании использовалась новая сборка второго бэкдора — ZeronetKit, написанного на Go. По информации «Лаборатории Касперского», в ZeronetKit добавлены усовершенствованные механизмы сетевого взаимодействия и новые команды для удалённого управления. Оба вредоносных инструмента работают в связке, позволяя BO Team проводить глубокое проникновение в инфраструктуру атакуемой организации.
Олег Купреев, эксперт по киберугрозам «Лаборатории Касперского», уточнил, что злоумышленники не применяют шаблонные схемы, а адаптируют каждое письмо и вложение под конкретную цель. Документы оформляются как юридически значимые, с призывами к срочному ознакомлению. Это повышает доверие жертв и увеличивает шанс на запуск вложения.