## Des hacktivistes pro-ukrainiens coordonnent des attaques Les chercheurs de **Kaspersky** ont découvert des preuves suggérant que **BO Team** et **Head Mare**, deux groupes hacktivistes pro-ukrainiens, coordonnent leurs cyberattaques ciblant des organisations russes. Le rapport met en évidence des infrastructures qui se chevauchent et des outils partagés, indiquant un effort collaboratif pour infiltrer et perturber des entités russes. Les conclusions de **Kaspersky** révèlent que les groupes partagent des systèmes de commande et de contrôle (C2) fonctionnant sur les mêmes hôtes compromis. Cette infrastructure partagée suggère un niveau de coordination qui n'avait pas été documenté auparavant entre ces groupes. ### L'évolution de BO Team **BO Team**, également connu sous le nom de Black Owl, a été précédemment identifié par **Kaspersky** comme opérant de manière plus autonome par rapport à d'autres groupes hacktivistes pro-ukrainiens. Le groupe possède ses propres ressources et emploie des approches uniques dans le déploiement d'outils malveillants. Avant ce rapport, il y avait peu de preuves liant **BO Team** à d'autres entités hacktivistes. **BO Team** a été lié à des attaques ciblant des infrastructures critiques russes, y compris un important fournisseur de drones, l'autorité fédérale russe de signature numérique du pays et un centre de recherche scientifique. Ces attaques ont été attribuées à une collaboration avec le renseignement militaire ukrainien. ### Le rôle de Head Mare **Head Mare** a émergé en 2023 sur la plateforme sociale X et est connu pour ses malwares personnalisés, notamment PhantomDL et PhantomCore. Le groupe est également connu pour exploiter des vulnérabilités nouvellement divulguées dans des campagnes de phishing. Leur objectif, comme celui de **BO Team**, a été principalement sur des cibles russes et biélorusses. ### Scénario d'attaque multi-étapes **Kaspersky** propose un scénario de coopération potentiel où **Head Mare** obtient un accès initial au réseau d'une victime par des tactiques de phishing. Suite à la brèche initiale, **BO Team** déploie ensuite des malwares pour étendre l'accès et mener d'autres opérations au sein du réseau compromis. Cette division du travail met en évidence un niveau sophistiqué de coordination entre les deux groupes. ### Changement de tactiques Depuis son apparition début 2024, **BO Team** est passé d'attaques principalement destructrices à des opérations plus discrètes, y compris l'espionnage cybernétique. Au premier trimestre 2026, le groupe a ciblé 20 organisations, déplaçant son attention des soins de santé vers les secteurs de la fabrication, des télécommunications, ainsi que du pétrole et du gaz, selon **Kaspersky**. Les attaquants emploient couramment des e-mails de phishing ciblés contenant des fichiers malveillants déguisés en documents légitimes pour obtenir un accès initial. Ils déploient ensuite des backdoors tels que BrockenDoor, ainsi que d'autres malwares, notamment Remcos et DarkGate. Les chercheurs de **Kaspersky** soulignent que « **BO Team** reste une menace sérieuse et en constante évolution dans le paysage des menaces cybernétiques russes ». Bien que la nature exacte de la relation entre **BO Team** et **Head Mare** reste floue, les infrastructures et les outils qui se chevauchent suggèrent fortement un effort coordonné dans leurs opérations contre les organisations russes.