All’inizio di settembre 2025, gli esperti di Kaspersky Lab hanno scoperto una nuova campagna del gruppo BO Team, rivolta a organizzazioni russe operanti in vari settori. Gli hacktivisti hanno aggiornato il loro toolkit, prendendo di mira le aziende con una nuova versione della backdoor BrockenDoor.
Il gruppo di hacktivisti BO Team (noto anche come Black Owl, Lifting Zmiy e Hoody Hyena) ha fatto la sua prima apparizione all’inizio del 2024 tramite un canale Telegram.
Prende di mira principalmente l’infrastruttura IT delle vittime e, in alcuni casi, crittografa i dati e commette estorsioni. I ricercatori avvertono che si tratta di una minaccia seria, volta sia a infliggere il massimo danno all’organizzazione attaccata sia a ottenere un guadagno finanziario. I principali obiettivi degli aggressori includono il settore pubblico e le grandi aziende.
Advertising
Per accedere ai sistemi delle vittime, gli aggressori inviano e-mail di spear-phishing contenenti archivi dannosi. Il contenuto di queste e-mail sembra essere personalizzato per ogni specifico attacco.
Ad esempio, un’e-mail sosteneva di aver rilevato prove di abuso di una polizza assicurativa sanitaria volontaria. L’archivio allegato conteneva un file eseguibile camuffato da documento PDF. L’estensione effettiva del file è .exe e gli aggressori l’hanno intenzionalmente separata dal nome del file con numerosi spazi per nascondere la sostituzione. L’archivio era protetto da password, fornita nel corpo dell’e-mail.
Se la vittima apre il file, viene visualizzato un documento escamotage: un falso rapporto di un’“indagine ufficiale”. A differenza delle campagne precedenti, il file dannoso non verrà eseguito a meno che sul sistema non sia installato il layout di tastiera russo. Ciò significa che gli attacchi sono rivolti solo agli utenti di lingua russa.
Gli analisti scrivono che il codice core della versione aggiornata della backdoor BrockenDoor è stato completamente riscritto in C#, semplificando il processo di programmazione per gli aggressori. Inoltre, sono disponibili numerosi obfuscator e packer per C# in grado di nascondere payload dannosi. Inoltre, i nomi completi dei comandi sono ora abbreviati a due o tre caratteri, complicando l’analisi. Ad esempio, il comando set_poll_interval ora si chiama spi e run_program ora si chiama rp.
Nel complesso, la funzionalità della backdoor non è cambiata in modo significativo. BrockenDoor contatta il server degli aggressori e invia diverse informazioni (nome utente e nome del computer, versione del sistema operativo e un elenco dei file presenti sul desktop). Se gli aggressori ritengono questi dati interessanti, la backdoor riceve comandi per sviluppare ulteriormente l’attacco.
Advertising
Il rapporto rileva inoltre che la nuova campagna ha utilizzato BrockenDoor per installare una versione aggiornata di un’altra backdoor, ZeronetKit, scritta in Go, utilizzata anche da BO Team.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.