## Hacktivistas pro-Ucrania coordinan ataques Investigadores de **Kaspersky** han descubierto evidencia que sugiere que **BO Team** y **Head Mare**, dos grupos hacktivistas pro-Ucrania, están coordinando sus ciberataques dirigidos a organizaciones rusas. El informe destaca la superposición de infraestructura y herramientas compartidas, lo que indica un esfuerzo colaborativo para infiltrarse y desestabilizar entidades rusas. Los hallazgos de **Kaspersky** revelan que los grupos comparten sistemas de comando y control (C2) que operan en los mismos hosts comprometidos. Esta infraestructura compartida sugiere un nivel de coordinación previamente no documentado entre estos grupos. ### Evolución de BO Team **BO Team**, también conocido como Black Owl, ha sido identificado previamente por **Kaspersky** como un grupo que opera de manera más autónoma en comparación con otros grupos hacktivistas pro-Ucrania. El grupo posee sus propios recursos y emplea enfoques únicos en el despliegue de herramientas maliciosas. Antes de este informe, había evidencia limitada que vinculaba a **BO Team** con otras entidades hacktivistas. **BO Team** ha sido vinculado a ataques dirigidos a infraestructura crítica rusa, incluido un importante proveedor de drones, la autoridad federal de firma digital del país y un centro de investigación científica. Estos ataques se han atribuido a la colaboración con la inteligencia militar ucraniana. ### Rol de Head Mare **Head Mare** emergió en 2023 en la plataforma social X y es conocido por su malware personalizado, incluyendo PhantomDL y PhantomCore. El grupo también es conocido por explotar vulnerabilidades recién divulgadas en campañas de phishing. Su enfoque, al igual que el de **BO Team**, ha sido principalmente en objetivos rusos y bielorrusos. ### Escenario de Ataque Multi-Etapa **Kaspersky** propone un posible escenario de cooperación en el que **Head Mare** obtiene acceso inicial a la red de una víctima a través de tácticas de phishing. Tras la brecha inicial, **BO Team** despliega malware para expandir el acceso y realizar operaciones adicionales dentro de la red comprometida. Esta división del trabajo resalta un nivel sofisticado de coordinación entre los dos grupos. ### Tácticas Cambiantes Desde su aparición a principios de 2024, **BO Team** ha evolucionado de ataques principalmente destructivos a operaciones más encubiertas, incluido el ciberespionaje. En el primer trimestre de 2026, el grupo atacó a 20 organizaciones, cambiando su enfoque de la atención médica a la manufactura, las telecomunicaciones y el sector del petróleo y gas, según **Kaspersky**. Los atacantes emplean comúnmente correos electrónicos de phishing dirigidos que contienen archivos maliciosos disfrazados de documentos legítimos para obtener acceso inicial. Luego despliegan backdoors como BrockenDoor, junto con otro malware incluyendo Remcos y DarkGate. Investigadores de **Kaspersky** enfatizan que “**BO Team** sigue siendo una amenaza seria y en continua evolución en el panorama de amenazas cibernéticas rusas”. Si bien la naturaleza exacta de la relación entre **BO Team** y **Head Mare** sigue sin estar clara, la superposición de infraestructura y herramientas sugiere fuertemente un esfuerzo coordinado en sus operaciones contra organizaciones rusas.