Хактивисты BO Team сменили цели и обзавелись Linux-бэкдором: анализ кода ZeronetKit

Всего за первый квартал BO Team атаковала двадцать организаций. Для получения первоначального доступа хактивисты неизменно применяют таргетированный фишинг с бэкдором BrockenDoor. В последних кампаниях они маскировали вредоносные файлы под легитимные офисные документы: например, "акт проверки ТС.exe" и "форма письменных пояснений.exe". При запуске такого файла пользователь видел безобидный PDF-документ с тем же названием, а в это время вредоносное ПО подключалось к серверу управления (C2) для получения дальнейших инструкций.

После получения доступа к хосту атакующие использовали стандартные инструменты Windows для разведки: просматривали сетевые соединения и порты ("netstat -ano"), искали файлы ("dir | findstr timesync.exe"), получали информацию о пользователях и запущенных процессах. Особый интерес для них представлял менеджер паролей KeePass - они целенаправленно искали процесс "keepass.exe" с помощью PowerShell. Также злоумышленники собирали данные о последних RDP-подключениях через журнал TerminalServices-RemoteConnectionManager.

Для закрепления в системе BO Team применяла задания планировщика Windows. Первая команда создавала одноразовую задачу "AVP Diagnostics", замаскированную под антивирусное ПО, и немедленно запускала бэкдор ZeroSSH. Вторая команда создавала задачу "MsEdgeDiagnostic", которая запускалась каждый час от имени конкретного пользователя - это позволяло восстанавливать присутствие в системе даже после перезагрузки. Для очистки журналов событий использовали встроенную утилиту "wevtutil.exe".

Отправной точкой этого исследования стало обнаружение приватного Git-репозитория группировки, что открыло доступ к исходному коду ее основного бэкдора ZeronetKit. Отчёт специалистов показывает, что репозиторий написан на языке Go и представляет собой модульный проект. В процессе сборки операционные параметры внедряются в бинарный файл через автоматически сгенерированный конфигурационный файл - это указывает на подход со сборкой полезной нагрузки под конкретную цель.

Анализ кода показал, что ZeronetKit использует гибридную модель конфигурации. При запуске бэкдор сначала пытается получить обновленные параметры из реестра Windows (ветка HKEY_CURRENT_USER). Если ключи найдены, они переопределяют значения, встроенные в бинарный файл. Для смены адреса управляющего сервера злоумышленнику даже не требуется компилировать новую версию - достаточно изменить соответствующий ключ в реестре. При этом имена параметров динамически вычисляются с помощью 64-битного хэша FNV-1, что затрудняет их прямое обнаружение.

Кроме того, бэкдор поддерживает список из нескольких C2-адресов и при запуске случайным образом выбирает один из них. Это обеспечивает отказоустойчивость и распределяет нагрузку между серверами. Механизм переподключения включает случайную задержку (jitter), чтобы усложнить детектирование сетевой активности по временным паттернам.

Один из вариантов ZeronetKit использует DNS-туннелирование. В сентябре 2025 года был зафиксирован образец, который передавал данные через DNS-запросы аномально большой длины. Сервер декодировал их с помощью base32, предварительно заменяя символы. В пакете передавались идентификатор сборки, имя хоста, имя пользователя, версия ОС и архитектура. Однако C2-сервер на момент исследования был недоступен.

В феврале 2026 года обнаружена версия ZeronetKit для Linux. Она использует библиотеку Gorilla WebSocket для связи с C2-сервером и поддерживает тот же набор команд, что и Windows-версия: запуск скрытой удаленной консоли, передачу файлов, создание SOCKS-туннеля и обновление конфигурации. При этом такие функции, как VNC и выполнение Shellcode, в данной сборке не поддерживаются.

В ходе атак зафиксирован и новый инструмент - ZeroSSH. Он располагался в той же папке "%LOCALAPPDATA%\Diagnostics" под именем "avpupdate.exe" и был загружен с домена, связанного с BO Team. После расшифровки выяснилось, что это бэкдор на Go, использующий схожую с ZeronetKit обфускацию. ZeroSSH регистрируется на C2-сервере через POST-запрос, передавая данные об имени компьютера, версии ОС и имени пользователя. Затем он запрашивает команды в цикле и может выполнять произвольные команды через cmd.exe, а также создавать обратное SSH-туннелирование.

Особый интерес представляет возможная коллаборация BO Team с другой хактивистской группировкой - Head Mare. В ходе расследования инцидента от февраля 2026 года на скомпрометированной инфраструктуре обнаружены инструменты обеих групп. Был найден загрузчик, маскирующийся под легитимный сервис и взаимодействующий с C2-сервером BO Team "wobla[.]site". Одновременно в соседней директории находился бэкдор PhantomCore, который ранее связывали с Head Mare. Анализ показал, что загрузчик получает от C2-сервера полезную нагрузку в виде DLL и выполняет её, причём для запуска требуется совпадение имени компьютера - это предотвращает выполнение вне целевой среды.

Дополнительно выявлены C2-серверы, обслуживающие обе группировки, функционирующие в пределах одного скомпрометированного хоста: "cheap-zone[.]online" (связан с Head Mare) и "wobla[.]site" (связан с BO Team). Характер совпадений позволяет предполагать как совместное использование инфраструктуры, так и более тесное тактическое взаимодействие. Возможно, Head Mare обеспечивает первоначальный доступ через фишинг, а BO Team затем разворачивает бэкдоры и проводит постэксплуатационные действия.

Исследование показывает, что за полтора года BO Team значительно расширила арсенал новыми кастомными инструментами, включая Linux-версии. При этом её цели, по всей видимости, сместились от явно деструктивных атак к более скрытым операциям, включая кибершпионаж. Выявленные связи с Head Mare подтверждают, что российские хактивистские группы способны координировать действия против общих целей. В совокупности эти факты делают BO Team серьёзной и постоянно развивающейся угрозой, требующей пристального внимания со стороны специалистов по информационной безопасности.

IPv4

• 150.241.70.86
• 213.165.60.65
• 87.251.66.206

Domains

• 1cbit-dev.com
• bacta.online
• bobas.fun
• cheap-zone.online
• czlm.site
• easybussy.space
• hatchvpn.online
• hexil.fun
• icecoldwind.online
• lizzardsnails.online
• lsasso.online
• msfch.zip
• orichalla.store
• railradman.site
• rostransnadzor.online
• rrcrft.xyz
• scnmon.store
• sorisu.net
• tributarieshand.online
• turmailn.online
• wobla.site
• yandecx.site

MD5

• 0208bc35bc22e26057baaae28c1a30f9
• 06220c16680975edc66a3590bdb14e93
• 074e0a2d1dfe648959bb593f2f01800f
• 09c1a436d99c07db5a04b2e6c8d6dc2f
• 0fb1d4651b6ff0aace4fdd62096de739
• 12772caa05f2c28ebe8c99abb35ac39c
• 159a0ab9696510263e1d29ff00a6484f
• 168a68b95574381ace9592c2a422315f
• 18623133ec76987a1783b4bb89e4faa9
• 1fb7d5554fb19fc4e951b6a241d3656d
• 1fe61a3c9d64469edfbee0fa70ede1c0
• 228c37e006de63d66ebd85db92374039
• 24cc0ffaa721b581cce6bc5b606a39f3
• 3002a09de8e0e60ff6bdd3fdbb681662
• 313b2a6eb9e4122967075199c14949a2
• 31521853376d57dcf2048ac8bb1a4ec7
• 36240b3a7e8eb1880fa07fce7d167556
• 36e08201eac9f4a5d4cb01ab5a4a8a79
• 373b22dca89f57c138c83cb99a6c6120
• 388b90dba9c5ede5214a8b28bf8344ad
• 3b1d634571f912f4736463470b7a2988
• 3dc5f4437412dd8bcc25d618af54323a
• 3fde2928159c5c5ab54e51e91f4553b1
• 40f93333bda1e6336c5384383a665de1
• 43e75f6346554ab5f5277214214a7614
• 449574fca7d65c63e1feaac6d95e4fa1
• 4793753ef5800f2adc088e359d61b793
• 509fdaff266c1d17320ebb5908ad0c41
• 513de1b37fe20e4e390b6f15c758f6fb
• 529b956ac4e0775c307471034ad68f1c
• 5a27b7e583b71f1454110101cb174dda
• 5ac1fec6ac88fad7779e914b2b48fad3
• 5bfcb7f54e2804a86630823e7a567396
• 5c8887f6bbfd92134523e8e49c701112
• 6b57ae74cd93c26847d487c7061fa895
• 6c2774b53da642b8c4ae841fea2f312c
• 6c3deaa478e0e19c8757e1ba5ba1dd5a
• 6ca846d0fc8f31c5a324a34dd13ef728
• 6cffddb440c1fd3d5329def1cb24708f
• 6fe8943f364f6308c2e46910bffefeaf
• 713caeebef14c541f5baa048ae212558
• 71612ebcc591b2475d3488e5580db56a
• 732fe189bedda7cf4bb944e954b49685
• 74116c90ada11d761e80df9e1c9ab6ac
• 7430e63b949c45f99381116ad85127e3
• 7463826c1fda4e966153eeeac9c70405
• 7d4b259b97398782ac7393cfb1fb1ee2
• 7dd08b7116a9007a776483ec9234e11d
• 8078fe915a899b92bbacacd19a326217
• 80f8742072695fb1c6ff7238febd9785
• 8351fa0448a85ffe8bcd1fbef20ed801
• 876ef7fbbd94f486d60d0fe172fef3a3
• 88ad907c581a620d2114e35582b6223b
• 8c4ab10b69007a1535ec114c7f6f7263
• 9086ef2da429381cf83248adc1408e83
• 94618c7b7180d906f53c22a85c7a88eb
• 960195e93993b0f438b304f1c2e7aca5
• 9744d12f8a9ac14f234482becb7f4d28
• 9866e8bc039eb72aa9f984f6a0e78027
• 9b4e1f2e20ba802b70033c7cb97f028a
• 9b7695bfbff339d78a58eb528e13c784
• 9f136dfe7c89d7581341055d49832835
• 9f1eca64a49c2accf8770e9fd932402a
• a4cafaf5cb77fc48420b15afa7d28383
• a9d96669acaf2943cfbbd70ae6e30681
• acb25a6dee9489f3efe32c7cfddb927b
• b2dc18fdb186b917a741872b088d9ed7
• b376f935c763a21a62f5c7db1b6c953d
• b4ebdc34cb9ec6e5ea60f9d6ed03b3d0
• b6ef75b53ae9bb81e1f20db88006d98b
• b9e5faed908e27f0190fa987f909b1d7
• bbd7495bc4018240a428f216181f3204
• bc71deee35ecaeedfdcc29b5dd6e65c7
• bcd99c4a04c4ac8cd1b1cd8ff94ff7a9
• c14469cd1f24c5438d99c04b8ff532cb
• c8ecf48b0e685cd5308e4060f5872872
• c99e34cac21fefe10eaf3303ff447131
• ceed053bdab80f7ff6dd9925bf8fc1de
• d24329dd3ad1876ffec84fd169245343
• d2f438f9c33cccabc5c95f3b1cf5d4de
• daaa3bb2cd12b8dd47d9d4f22ab42233
• dbd76ffb6762bd40ecd6cc0637aec0ba
• de1bc206ba0b36b1db1e28608103dec7
• e055737fba4164b14ed18bfa69263877
• e500b01182c00f05a448842270723e23
• e7e2e5311bd9222543256f9dd5361593
• ec837ea313d761979c19185e73023cec
• ed9fd09eb3254553305623517e672efc
• f41720e6a2d56216b8dbc782be97b5a1
• f44363f27dc5b6317c4c4302f04d3551
• faa7ebc3be3237d6012d6390a00afb17