## Pro-Ukraine Hacktivisten koordinieren Angriffe Forscher von **Kaspersky** haben Beweise aufgedeckt, die darauf hindeuten, dass **BO Team** und **Head Mare**, zwei pro-ukrainische Hacktivistengruppen, ihre Cyberangriffe auf russische Organisationen koordinieren. Der Bericht hebt überlappende Infrastruktur und gemeinsam genutzte Tools hervor, was auf eine kollaborative Anstrengung zur Infiltration und Störung russischer Einheiten hindeutet. Die Erkenntnisse von **Kaspersky** zeigen, dass die Gruppen Command-and-Control (C2)-Systeme nutzen, die auf denselben kompromittierten Hosts laufen. Diese gemeinsame Infrastruktur deutet auf eine bisher nicht dokumentierte Koordination zwischen diesen Gruppen hin. ### Entwicklung von BO Team **BO Team**, auch bekannt als Black Owl, wurde von **Kaspersky** zuvor als autonomer agierend identifiziert im Vergleich zu anderen pro-ukrainischen Hacktivistengruppen. Die Gruppe verfügt über eigene Ressourcen und setzt einzigartige Ansätze bei der Bereitstellung von bösartigen Tools ein. Vor diesem Bericht gab es nur begrenzte Beweise, die **BO Team** mit anderen Hacktivisteneinheiten in Verbindung brachten. **BO Team** wurde mit Angriffen auf kritische russische Infrastrukturen in Verbindung gebracht, darunter ein wichtiger Drohnenlieferant, die föderale digitale Signaturbehörde des Landes und ein wissenschaftliches Forschungszentrum. Diese Angriffe wurden der Zusammenarbeit mit dem ukrainischen Militärgeheimdienst zugeschrieben. ### Rolle von Head Mare **Head Mare** tauchte 2023 auf der sozialen Plattform X auf und ist bekannt für seine benutzerdefinierte Malware, darunter PhantomDL und PhantomCore. Die Gruppe ist auch dafür bekannt, neu entdeckte Schwachstellen in Phishing-Kampagnen auszunutzen. Ihr Fokus lag, ähnlich wie bei **BO Team**, hauptsächlich auf russischen und belarussischen Zielen. ### Multi-Stage-Angriffsszenario **Kaspersky** schlägt ein mögliches Kooperationsszenario vor, bei dem **Head Mare** durch Phishing-Taktiken den ersten Zugriff auf das Netzwerk eines Opfers erlangt. Nach dem anfänglichen Einbruch setzt **BO Team** dann Malware ein, um den Zugriff zu erweitern und weitere Operationen innerhalb des kompromittierten Netzwerks durchzuführen. Diese Arbeitsteilung unterstreicht ein ausgefeiltes Maß an Koordination zwischen den beiden Gruppen. ### Taktikwechsel Seit seinem Auftauchen Anfang 2024 hat sich **BO Team** von primär destruktiven Angriffen zu verdeckteren Operationen entwickelt, einschließlich Cyber-Spionage. Im ersten Quartal 2026 zielte die Gruppe auf 20 Organisationen ab und verlagerte ihren Fokus von der Gesundheitsbranche auf die Fertigungs-, Telekommunikations- sowie die Öl- und Gasindustrie, so **Kaspersky**. Die Angreifer setzen häufig gezielte Phishing-E-Mails mit bösartigen Dateien ein, die als legitime Dokumente getarnt sind, um den ersten Zugriff zu erlangen. Anschließend setzen sie Backdoors wie BrockenDoor sowie andere Malware wie Remcos und DarkGate ein. Forscher von **Kaspersky** betonen, dass „**BO Team** eine ernsthafte und sich ständig weiterentwickelnde Bedrohung in der russischen Cyberbedrohungslandschaft darstellt.“ Obwohl die genaue Natur der Beziehung zwischen **BO Team** und **Head Mare** unklar bleibt, deuten die überlappende Infrastruktur und die Tools stark auf eine koordinierte Anstrengung bei ihren Operationen gegen russische Organisationen hin.