A principios de septiembre de 2025, investigadores de Kaspersky observaron una nueva ola de ataques de la agrupación BO Team (también identificada como Black Owl, Lifting Zmiy y Hoody Hyena) contra organizaciones rusas de múltiples sectores. La campaña persigue interrumpir la infraestructura TI, sustraer información y extorsionar a las víctimas, con foco en el sector público y grandes compañías. El grupo ha renovado su tooling: el backdoor BrockenDoor fue reescrito en C#, y el módulo asociado ZeronetKit, ahora en Go, incorpora comandos de red ampliados.
Spear phishing con archivos disfrazados y señuelos “oficiales”
El vector inicial se basa en spear phishing con archivos comprimidos protegidos por contraseña y personalizados para cada objetivo. En casos analizados, los correos simulaban notificaciones sobre supuestos abusos de pólizas de seguro médico para empleados, anexando un archivo que contenía un ejecutable camuflado como PDF mediante una cadena de espacios en el nombre y la ocultación de la extensión .exe. Al ejecutarlo, se muestra un documento señuelo con apariencia de “protocolo de investigación interna”.
El malware verifica la distribución del teclado y evita ejecutarse si no detecta disposición rusa, un indicador claro de orientación contra usuarios rusófonos. Este enfoque se alinea con MITRE ATT&CK T1566 (Phishing) y T1204 (User Execution). Según el informe Verizon DBIR 2024, el “elemento humano” interviene en la mayoría de las brechas (≈68%), y el phishing sigue entre las técnicas más efectivas, lo que explica la insistencia del grupo en la ingeniería social.
BrockenDoor en C#: obfuscación accesible y comandos abreviados
La reescritura de BrockenDoor en C# facilita el desarrollo y la escala, y habilita el uso de obfuscadores y empaquetadores abundantes en el ecosistema .NET, dificultando el análisis estático y dinámico. Además, las órdenes del C2 fueron comprimidas a abreviaturas de 2–3 caracteres —por ejemplo, set_poll_interval pasa a spi y run_program a rp— para reducir la eficacia de firmas basadas en cadenas.
Capacidades y telemetría
En funcionalidades nucleares, el backdoor mantiene un conjunto clásico: establece conexión con el C2, recopila información básica del host (usuario, nombre de equipo, versión de SO) y lista ficheros del Escritorio. Cuando los atacantes consideran valiosa la máquina, emiten órdenes adicionales para el despliegue de herramientas de post-explotación.
ZeronetKit en Go: segunda fase y resiliencia de infraestructura
En la cadena actual, BrockenDoor actúa como dropper de una versión renovada del backdoor ZeronetKit, escrito en Go. La inclusión de nuevos comandos de red refuerza la resiliencia del C2 y complica la respuesta, al ofrecer más opciones de comunicación y redundancia para los operadores.
Selección de objetivos y personalización de señuelos
Los ataques se dirigen a organismos públicos y grandes empresas en Rusia. Los mensajes y adjuntos se redactan con lenguaje legal y referencias a procesos internos, especialmente en torno al seguro médico corporativo, subrayando la “urgencia” de revisión. La personalización caso a caso eleva la tasa de clics y retrasa la detección temprana frente a plantillas genéricas.
Medidas de mitigación y detección priorizadas
Correo electrónico: aplicar SPF, DKIM y DMARC; sandboxing y detonación de adjuntos; bloquear ejecutables en archivos comprimidos y ficheros con extensiones dobles/ocultas o nombres con espacios anómalos.
Endpoint: EDR/NGAV con reglas de comportamiento para cargadores C#/.NET; habilitar Microsoft Attack Surface Reduction (ASR); impedir procesos hijo desde suites ofimáticas; forzar la visualización de extensiones en el sistema operativo.
Red: monitorizar conexiones salientes a C2 desconocidos; recolectar telemetría de DNS y TLS (p. ej., SNI, JA3/JA4); restringir proxys/VPN no autorizados; segmentación y principio de mínimo privilegio para limitar el movimiento lateral.
Concienciación: formación continua y pruebas de phishing realistas con seguimiento de clics. La verificación de idioma/teclado por el atacante es un indicador de targeting, no un control defensivo.
La campaña de BO Team evidencia la rápida evolución del hacktivismo: reingeniería en C#, obfuscación agresiva y una cadena de dos etapas con ZeronetKit fortalecen su eficacia. Las organizaciones deberían reforzar la higiene del correo, la visibilidad en endpoints y red, y alinear sus controles con MITRE ATT&CK; actualizar de forma continua reglas y firmas; y cortar la cadena lo antes posible —del clic al dropper— para reducir el riesgo de exfiltración y extorsión. Mantener ejercicios de simulación y revisar telemetría crítica son acciones inmediatas de alto impacto.
