HackerangriffeCyberkriminalitätMalware

Pro-Ukraine-Hacker koordinieren Angriffe: BO Team und Head Mare arbeiten zusammen

Von CyberDeutsch Redaktion
Pro-Ukraine-Hacker koordinieren Angriffe: BO Team und Head Mare arbeiten zusammen
Zusammenfassung

Zwei pro-ukrainische Hackergruppen scheinen ihre Kräfte zu bündeln: Die Gruppe BO Team, auch als Black Owl bekannt, koordiniert offenbar ihre Cyberangriffe mit der Gruppe Head Mare gegen russische Ziele. Kaspersky-Forscher haben überlappende Infrastrukturen und identische Werkzeuge entdeckt, die beide Gruppen nutzen, darunter Command-and-Control-Systeme auf demselben kompromittierten Host. Dies deutet auf eine bewusste Zusammenarbeit hin. BO Team, die seit Anfang 2024 aktiv ist, unterschied sich bisher durch ihre Autonomie und eigenen Ressourcen von anderen hacktivist-Gruppen und kooperierte beispielsweise mit ukrainischen Militärbehörden. Die neue Koordination mit Head Mare markiert eine Eskalation dieser Aktivitäten. Für deutsche Unternehmen und Behörden ist diese Entwicklung relevant, da ähnliche Taktiken auch gegen westliche Organisationen angewendet werden könnten. Die Gruppen nutzen Phishing-E-Mails mit bösartigen Dateien, um Zugang zu Netzwerken zu erlangen, und verbreiten Malware wie BrockenDoor, Remcos und DarkGate. Während die Angriffe gegenwärtig auf Russland und Belarus fokussiert sind, zeigt die zunehmende Professionalisierung und Zusammenarbeit dieser Akteure, dass auch deutsche Institutionen deren Methoden und Infrastrukturen als Bedrohungsvorlage beobachten sollten.

Die Entdeckung einer möglichen Zusammenarbeit zwischen BO Team und Head Mare markiert eine Eskalation in der Cyberkriegsführung rund um den Konflikt in der Ukraine. Kaspersky-Forscher dokumentieren erstmals substanzielle Belege für die operative Koordination dieser beiden Gruppen, deren Aktivitäten sich bislang nur wenig überschnitten hatten.

BO Team, auch als Black Owl bekannt, ist seit Anfang 2024 aktiv und hat sich schnell zu einer bedeutenden Kraft unter pro-ukrainischen Hackergruppen entwickelt. Im Gegensatz zu anderen Aktivisten-Kollektiven operierte BO Team bislang weitgehend autonom mit eigenen Ressourcen und Werkzeugen. Das ändert sich nun offenbar. Die Gruppe hat in der Vergangenheit eng mit ukrainischer Militärintelligenz zusammengearbeitet, etwa bei Angriffen auf einen großen russischen Drohnenhersteller, Russlands Behörde für digitale Signaturen und ein wissenschaftliches Forschungszentrum.

Head Mare ist bereits seit 2023 aktiv und hat sich auf eigene Malware spezialisiert — insbesondere die Tools PhantomDL und PhantomCore. Die Gruppe nutzt zudem neue, gerade offengelegte Schwachstellen in Phishing-Kampagnen.

Kaspersky skizziert ein wahrscheinliches Szenario der Kooperation: Head Mare verschafft sich über Phishing-Mails Zugang zu Netzwerken, während BO Team anschließend Malware wie BrockenDoor, Remcos und DarkGate einsetzt, um die Kontrolle zu erweitern und Spionage zu betreiben. Diese mehrstufige Angriffsweise erhöht die Erfolgsquoten erheblich.

BO Team hat sein Tätigkeitsprofil im vergangenen Jahr deutlich verschoben. Während die Gruppe anfangs destruktive Angriffe durchführte, liegt der Fokus nun auf verdeckteren Operationen und Cyber-Spionage. Im ersten Quartal 2026 zielten die Angreifer auf 20 Organisationen ab — ein Wechsel weg von Gesundheitseinrichtungen hin zu Unternehmen in Fertigung, Telekommunikation und Öl- und Gassektor.

Obwohl die genaue Natur der Beziehung zwischen beiden Gruppen unklar bleibt, sprechen die überlappenden Infrastrukturen und Werkzeuge für mindestens ein gewisses Maß an operativer Abstimmung. Für Cybersicherheitsexperten weltweit — und insbesondere für deutsche Unternehmen mit Geschäftsbeziehungen zu Ländern im Konflikt — ist dies ein Zeichen für die wachsende Professionalisierung und Koordination im Bereich Hacktivismus.

Ähnliche Artikel