Kaspersky: Pro-ukrainische Gruppen BO Team und Head Mare koordinieren Angriffe auf russische Ziele

Zusammenfassung

Die pro-ukrainische Hacktivisten-Gruppe BO Team koordiniert ihre Cyberoperationen offenbar mit einer weiteren Gruppe namens Head Mare, um russische Organisationen anzugreifen. Das geht aus einem neuen Bericht des in Moskau ansässigen Sicherheitsunternehmens Kaspersky hervor. Die Forscher stießen nach eigenen Angaben auf überschneidende Infrastruktur und Werkzeuge beider Gruppen, darunter Command-and-Control-Systeme, die auf demselben kompromittierten Host betrieben wurden. Das deute auf eine gewisse Abstimmung hin. Beide Gruppen richten ihre Aktivitäten auf Ziele in Russland und Belarus, doch bislang gab es kaum Hinweise auf eine operative Verbindung zwischen ihnen. In früheren Berichten hatte Kaspersky BO Team, auch bekannt als Black Owl, als vergleichsweise eigenständig beschrieben: Die Gruppe agiere mit eigenen Ressourcen und eigenen Ansätzen beim Einsatz schädlicher Werkzeuge autonomer als andere pro-ukrainische Hacktivisten. Bislang habe es zu wenig Belege für ein Zusammenwirken mit anderen Hacktivisten gegeben, so Kaspersky. Welche Art von Beziehung genau zwischen den beiden Gruppen besteht, bleibt unklar.

Als ein mögliches Szenario der Zusammenarbeit nennt Kaspersky einen mehrstufigen Angriff: Head Mare verschafft sich über Phishing zunächst den Erstzugang zum Netzwerk eines Opfers, anschließend bringt BO Team Schadsoftware ein, um den Zugriff auszuweiten und weitere Operationen durchzuführen.

BO Team trat erstmals Anfang 2024 über einen Telegram-Kanal in Erscheinung und positionierte sich seither an der Seite anderer pro-ukrainischer Hacktivisten-Gruppen. Im vergangenen Jahr baute die Gruppe ihre Fähigkeiten aus und verlagerte ihren Schwerpunkt von überwiegend zerstörerischen Angriffen hin zu verdeckteren Operationen, einschließlich Cyberspionage. In früheren Kampagnen arbeitete BO Team laut Kaspersky mit dem ukrainischen Militärnachrichtendienst zusammen, unter anderem bei Angriffen auf einen großen russischen Drohnenlieferanten, die föderale Behörde für digitale Signaturen sowie ein wissenschaftliches Forschungszentrum.

Im ersten Quartal 2026 nahm die Gruppe nach Angaben von Kaspersky 20 Organisationen ins Visier und verschob ihren Fokus von Einrichtungen des Gesundheitswesens hin zu Unternehmen aus der Fertigung, der Telekommunikation sowie der Öl- und Gasbranche. Für den Erstzugang setzen die Angreifer typischerweise auf gezielte Phishing-Mails mit schädlichen Dateien, die als legitime Dokumente getarnt sind. Anschließend installieren sie Backdoors wie BrockenDoor sowie weitere Schadsoftware, darunter Remcos und DarkGate. BO Team bleibe eine ernstzunehmende und sich fortlaufend weiterentwickelnde Bedrohung in der russischen Bedrohungslandschaft, so die Forscher.

Head Mare tauchte erstmals 2023 auf der Plattform X auf und ist dafür bekannt, eigene maßgeschneiderte Schadsoftware einzusetzen, darunter PhantomDL und PhantomCore. Zudem nutzt die Gruppe in ihren Phishing-Kampagnen neu offengelegte Schwachstellen aus.

Die genaue Natur der Beziehung zwischen den beiden Gruppen bleibt nach Darstellung der Forscher unklar. Die Überschneidungen bei Infrastruktur und Werkzeugen deuteten jedoch auf zumindest ein gewisses Maß an Koordination bei Operationen gegen russische Organisationen hin.

Kaspersky: Pro-ukrainische Gruppen BO Team und Head Mare koordinieren Angriffe auf russische Ziele

Ähnliche Artikel

Neueste Artikel