Zu Beginn des September 2025 haben Forschende von Kaspersky eine neue Angriffswelle der Hacktivisten-Gruppe BO Team (auch bekannt als Black Owl, Lifting Zmiy und Hoody Hyena) gegen russische Organisationen aus mehreren Branchen beobachtet. Die Gruppe richtet sich vorrangig gegen den öffentlichen Sektor und große Unternehmen und verfolgt Ziele wie Störung von IT‑Betrieb, Datendiebstahl und Erpressung.
Spear‑Phishing als Erstzugriff: glaubwürdige „Dienstunterlagen“ und getarnte Executables
Laut den Analyseergebnissen setzt BO Team auf zielgerichtete Phishing‑E-Mails mit passwortgeschützten Archiven, die inhaltlich an die jeweilige Organisation angepasst sind. In einem dokumentierten Fall wurde ein angebliches Schreiben zu Unregelmäßigkeiten bei der Mitarbeiter‑Krankenversicherung (DMS) verwendet. Das Archiv enthielt eine ausführbare Datei, die durch eine lange Leerzeichenfolge im Dateinamen wie ein PDF wirkte, tatsächlich jedoch eine versteckte .exe war. Beim Start erscheint ein täuschend echt wirkendes Köderdokument („dienstliche Untersuchung“), während im Hintergrund die Infektion beginnt.
Ein technisches Detail unterstreicht die Zielauswahl: Der Schadcode prüft die aktive Tastaturlayouts und startet nicht, wenn keine russische Belegung vorhanden ist. Das signalisiert einen klaren Fokus auf russischsprachige Umgebungen.
Phishing bleibt damit der zentrale Vektor für den Initialzugriff. Der Verizon Data Breach Investigations Report 2024 weist den „Human Factor“ in einem Großteil der Vorfälle aus, und Social Engineering zählt weiterhin zu den effektivsten Angriffswegen. In der MITRE‑ATT&CK‑Taxonomie entsprechen die beobachteten Techniken u. a. T1566 (Phishing) und T1204 (User Execution).
BrockenDoor in C#: Obfuskation, komprimierte Befehle und agilere Entwicklung
BO Team hat die Backdoor BrockenDoor vollständig auf C# portiert. Dieser Technologie‑Stack erleichtert die Weiterentwicklung und skaliert gut, während er den Einsatz gängiger Obfuskatoren und Packer erlaubt, die statische und verhaltensbasierte Analysen erschweren. Zusätzlich wurden die C2‑Befehle auf Kurzformen mit 2–3 Zeichen reduziert (z. B. set_poll_interval zu spi, run_program zu rp), was signaturbasierte Erkennung auf String‑Ebene unterläuft.
Funktion und Telemetrieerhebung
Die Kernfunktionen bleiben bewusst schlank: BrockenDoor baut eine Verbindung zum Command‑and‑Control‑Server auf, sammelt Basisinformationen wie Benutzer‑ und Rechnername sowie Betriebssystemversion und listet Dateien auf dem Desktop auf. Bei „lohnenden“ Zielen wird die Backdoor durch zusätzliche Operator‑Befehle weiter genutzt, etwa für Persistenz, Datendiebstahl oder die Vorbereitung weiterer Schritte.
Zweite Stufe ZeronetKit in Go: erweiterte Netzwerkfähigkeiten
In der aktuellen Kampagne fungiert BrockenDoor als Dropper für eine aktualisierte Variante von ZeronetKit, die in Go implementiert ist. Forschende berichten von neuen Netzwerkkommandos, die die Resilienz der Angreiferinfrastruktur erhöhen und die Incident‑Response erschweren, etwa durch flexiblere C2‑Kommunikation und robustere Fallback‑Pfade.
Zielauswahl und maßgeschneiderte Köder
Die Kampagne fokussiert russische Behörden und Großunternehmen. Inhalte von E‑Mails sowie Dateinamen und Begleittexte werden an rechtliche und organisatorische Kontexte angepasst. In beobachteten Fällen diente die DMS‑Thematik als glaubhafter Aufhänger, flankiert von Dringlichkeitshinweisen, um Interaktionen zu erzwingen.
Prävention und Detektion: praxisnahe Maßnahmen gegen BO Team
E‑Mail‑Sicherheit: SPF, DKIM und DMARC durchgängig umsetzen; Anhänge in Sandboxen detonieren; die Zustellung von PE‑Dateien in Archiven unterbinden; Dateien mit doppelten/verschleierten Endungen und ungewöhnlich langen Leerzeichen im Namen blockieren.
Endpoint‑Kontrollen: EDR/NGAV mit Regeln für C#‑Loader einsetzen; Microsoft Attack Surface Reduction (ASR) aktivieren; Kindprozesse aus Office‑Applikationen verhindern; systemweit die Anzeige von Dateiendungen erzwingen.
Netzwerk‑Sichtbarkeit: ausgehende C2‑Verbindungen monitoren; DNS‑ und TLS‑Telemetrie protokollieren; nicht autorisierte Proxy/VPN‑Nutzung beschränken; Netzwerksegmentierung und Least Privilege zur Eindämmung lateraler Bewegungen durchsetzen.
Security‑Awareness: regelmäßige, realitätsnahe Phishing‑Simulationen mit Messung der Klick‑ und Meldungsraten. Die Tastaturlayout‑Prüfung ist lediglich ein Indikator für Targeting – kein Schutzmechanismus.
Die aktuelle BO‑Team‑Welle zeigt, wie schnell sich Angreiferwerkzeuge weiterentwickeln: ein auf C# migrierter Loader mit starker Obfuskation, eine zweistufige Kette mit einem Go‑Backdoor‑Modul und präzise Spear‑Phishing‑Taktiken. Organisationen sollten Abwehrmaßnahmen entlang der MITRE‑ATT&CK‑Techniken ausrichten, Erkennungsregeln aktuell halten und die E‑Mail‑Hygiene wie auch die Endpunkt‑ und Netzwerktransparenz erhöhen. Wer die Phishing‑ und Loader‑Kette frühzeitig unterbricht, reduziert das Risiko von Betriebsausfällen, Datendiebstahl und Erpressung erheblich.
