Netcrook Logo
👤 CIPHERWARDEN
🗓️ 25 Oct 2025   🗂️ Threats    

Las nuevas tácticas de Black Owl: Dentro de la implacable ofensiva cibernética del equipo BO contra Rusia

Un grupo hacktivista en la sombra desata un kit de herramientas digitales mejorado, apuntando a organizaciones rusas con astutos ataques de spear-phishing y puertas traseras sigilosas.

Datos rápidos: Campaña cibernética 2025 del equipo BO

  • El equipo BO, también conocido como Black Owl, ha lanzado una nueva ola de ciberataques contra organizaciones rusas desde septiembre de 2025.
  • El kit de herramientas del grupo ahora incluye una puerta trasera renovada, BrockenDoor, reescrita en C# para mayor sigilo y flexibilidad.
  • Correos electrónicos de spear-phishing - diseñados para parecer legítimos - entregan archivos maliciosos disfrazados de documentos inofensivos.
  • Los ataques se centran específicamente en víctimas de habla rusa, comprobando la configuración del teclado ruso antes de activar el malware.
  • La campaña busca tanto la máxima disrupción operativa como la extorsión financiera, apuntando al sector público y a grandes empresas.

Nuevas máscaras, viejos rostros: El equipo BO evoluciona

Imagina abrir tu correo matutino y encontrar un mensaje sobre una supuesta investigación de seguros - urgente, oficial y personal. Pero detrás del “PDF” adjunto acecha una trampa digital, lista para activarse solo si escribes en ruso. Esta es la nueva cara del equipo BO, un colectivo hacktivista cuyas huellas digitales aparecieron por primera vez a principios de 2024 en Telegram. Su última ofensiva, descubierta por expertos de Kaspersky Lab, marca una escalada significativa tanto en sofisticación técnica como en manipulación psicológica.

Spear-phishing: El arte del engaño digital

Los ataques del equipo BO comienzan con spear-phishing - correos electrónicos altamente dirigidos que imitan correspondencia legítima pero esconden malware en archivos comprimidos protegidos por contraseña. ¿El truco? El archivo malicioso se hace pasar por un PDF pero en realidad es un ejecutable (.exe), cuya verdadera naturaleza se oculta mediante el uso ingenioso de espacios en el nombre del archivo. Solo quienes usan un teclado ruso activarán la carga útil, una táctica que minimiza los daños colaterales y maximiza las posibilidades de alcanzar los objetivos previstos.

Esto marca una diferencia respecto a campañas anteriores, que solían lanzar una red más amplia. Ahora, el equipo BO muestra una precisión escalofriante, adaptando cada señuelo a organizaciones específicas, principalmente del sector público o grandes empresas. La intención es tanto causar caos y disrupción como extraer rescates o datos sensibles.

BrockenDoor: Una puerta trasera más sigilosa, una amenaza mayor

En el corazón de esta campaña está BrockenDoor, la “puerta trasera” característica del equipo BO - una llave maestra digital reescrita en el lenguaje de programación C#. La nueva versión es más difícil de detectar y analizar, gracias a nombres de comandos acortados y trucos de ofuscación que ocultan su funcionamiento interno. Una vez dentro, BrockenDoor inspecciona silenciosamente el sistema de la víctima, recolectando nombres de usuario, detalles del ordenador, versiones del sistema operativo e incluso una instantánea de los archivos del escritorio. Si los atacantes detectan algo de interés, pueden emitir más comandos y profundizar su acceso.

Sumando al arsenal está ZeronetKit, otra puerta trasera escrita en Go, que puede desplegarse para persistencia adicional o movimiento lateral dentro de una red comprometida. Este enfoque modular refleja tendencias vistas en otros grupos avanzados de ciberdelincuencia, como la infame banda Conti o el grupo norcoreano Lazarus, que desde hace tiempo prefieren infecciones por capas y sigilosas.

Geopolítica y el submundo cibernético

La campaña del equipo BO es más que una hazaña técnica - es un recordatorio contundente de cómo el hacktivismo y el cibercrimen se superponen en el turbulento clima geopolítico actual. Al centrarse exclusivamente en entidades rusas, el equipo BO señala un posible motivo político, aunque su demanda de rescates revela un matiz pragmático. El uso de ingeniería social personalizada y malware avanzado apunta a un grupo que aprende rápido, se adapta y eleva la apuesta para los defensores digitales de la región.

Mientras las organizaciones rusas se preparan para nuevas olas de sabotaje digital, el kit de herramientas en evolución del equipo BO es una advertencia para cada defensor: en el juego del gato y el ratón de la guerra cibernética, las reglas - y los jugadores - siempre están cambiando.

WIKICROOK

  • Spear: El spear phishing es un ciberataque dirigido que utiliza correos electrónicos personalizados para engañar a individuos u organizaciones específicas y hacer que revelen información sensible.
  • Backdoor: Una puerta trasera es una forma oculta de acceder a un ordenador o servidor, eludiendo los controles de seguridad normales, utilizada a menudo por atacantes para obtener control secreto.
  • Obfuscation: La ofuscación es la práctica de disfrazar código o datos para dificultar que humanos o herramientas de seguridad los entiendan, analicen o detecten.
  • Payload: Una carga útil es la parte dañina de un ciberataque, como un virus o spyware, entregada a través de correos o archivos maliciosos cuando la víctima interactúa con ellos.
  • Ingeniería social: La ingeniería social es el uso del engaño por parte de hackers para hacer que las personas revelen información confidencial o proporcionen acceso no autorizado a sistemas.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news