Киберпространство вновь стало полем для изощрённой охоты. Группа хактивистов BO Team запустила в сентябре 2025 года новую волну атак, нацеленных на российские компании из различных отраслей. Их оружием стал обновлённый бэкдор BrockenDoor, а воротами для проникновения послужили искусно сконструированные фишинговые письма. Злоумышленники, маскируясь под представителей страховых и банковских учреждений, рассылали целевые сообщения, эксплуатируя доверие к теме добровольного медицинского страхования. Особую хитрость атаке придаёт тот факт, что сам вредоносный файл спрятан внутри запароленного архива — этот нехитрый приём эффективно обходит автоматическое сканирование системами защиты.
Подлинная опасность группы BO Team, заявившей о себе в 2024 году через Telegram-канал, заключается в её двойной мотивации: они стремятся не только нанести максимальный ущерб IT-инфраструктуре жертвы, но и извлечь финансовую выгоду через шифрование данных и вымогательство. Их взгляд прикован к крупному бизнесу и государственному сектору. Механизм обмана отточен до мелочей: вложение в письме выглядит как безобидный PDF-документ, но на самом деле является исполняемым файлом. Чтобы скрыть подмену, злоумышленники отделяют расширение .exe от названия множеством пробелов, а пароль для распаковки архива прямо указан в тексте письма. Использование запароленного архива делает невозможным его автоматический анализ, а человек легко его открывает.
После того как жертва, поддавшись на провокацию, открывает файл, её взору предстаёт убедительно сфабрикованный документ — протокол о «служебном расследовании», призванный усыпить бдительность. При этом атака демонстрирует хирургическую точность: вредоносный код не активируется, если в системе не установлена русская раскладка клавиатуры. Это свидетельствует о чётком таргетировании на русскоязычных пользователей. Что касается новой версии бэкдора BrockenDoor, то она была полностью переписана на язык C#, что, по мнению экспертов, упрощает процесс разработки для самих атакующих. Широкий выбор доступных обфускаторов для C# позволяет эффективно скрывать вредоносную нагрузку, а для усложнения анализа команды бэкдора были сокращены до двух-трёх символов.
Функционально BrockenDoor остался верен себе: установив связь с командным сервером, он собирает и отправляет базовые данные о системе — имя пользователя, компьютера, версию ОС и содержимое рабочего стола. Если эта информация покажется злоумышленникам ценной, бэкдор получает команду на дальнейшие действия, которые могут включать установку более мощных инструментов. В рамках текущей кампании BrockenDoor использовался для развёртывания обновлённой версии другого бэкдора — ZeronetKit, написанного на Go, что демонстрирует комплексный и многоуровневый подход BO Team к компрометации инфраструктур. Как отмечает Олег Купреев, эксперт «Лаборатории Касперского», фишинговые письма и документы-приманки создавались не по шаблону, а адаптировались под каждую конкретную цель, что говорит о высоком уровне подготовки атакующих и делает эту угрозу особенно коварной.