BO Team e i gruppi cyber pro-Ucraina

Nella guerra cyber fra Russia ed Ucraina, il fronte di Kiev può contare su formazioni che operano come vere e proprie forze ibride, svolgendo operazioni di spionaggio e hacktivismo.

Le loro attività si sono intensificate e sono venute più frequentemente alla luce nel periodo in cui il comandante del Dipartimento di Sicurezza Informatica e delle Informazioni del SBU, Illia Vitiuk, ha promosso una deliberata strategia di difesa proattiva. Fino al momento della sua sospensione, avvenuta nel maggio 2024, Vitiuk ha mantenuto una costante presenza sui media, rendendosi protagonista in prima persona della divulgazione pubblica sia degli attacchi effettuati da Mosca (come quello che ha impattato la Telco Kyivstar), sia di quelli lanciati contro target in Russia o nei territori ucraini annessi.

Il collettivo IT Army of Ukraine è un caso paradigmatico di gruppo ibrido. Costituito a febbraio 2022 su iniziativa del vicepremier Fedorov e destinato ad intervenire nell’ambito del conflitto con la Russia, si avvale della partecipazione di numerosi volontari civili esperti di sicurezza informatica e di hacktivisti. Gli altri nomi emersi a partire dall’invasione russa del febbraio 2022 sono Blackjack, Cyber Resistance e Bo Team.

Inoltre, a fine maggio 2025, ricercatori di sicurezza hanno documentato le operazioni cyber del gruppo BO Team (Black Owl, Lifting Zmiy e Hoody Hyena). Costituita agli inizi del 2024 e attiva ancora nel 2025, questa formazione prende di mira aziende e organizzazioni statali russe dei settori tecnologico, delle telecomunicazioni e manifatturiero.

BO Team ha attivato sin da subito un canale Telegram che viene utilizzato per rivendicare gli attacchi e svolgere attività PsyOp, con l’obiettivo di ottenere visibilità nello spazio mediatico.

Una delle offensive più eclatanti di questo avversario ha impattato il Centro di Ricerca sull’Idrometeorologia Spaziale «Planeta» della Federazione Russa, un’organizzazione che gestisce e sviluppa sistemi di osservazione della Terra dallo spazio. Fra le conseguenze, la distruzione di dati meteorologici e satellitari utilizzati da diverse agenzie governative e il sabotaggio di edifici e un supercomputer.

Lo sfruttamento di tattiche hacktiviste è confermato anche dalla composizione del suo arsenale che comprende, oltre a tool di spionaggio come le backdoor Remcos, DarkGate e BrockenDoor, anche il ransomware Babuk – il cui codice sorgente è trapelato nel 2021 – e l’utility SDelete.

Le sue campagne sono spesso avviate da attacchi di spear phishing e social engineering molto mirato. Le minacce garantiscono l’accesso persistente ai sistemi e consentono attività di esfiltrazione dei dati. Lo sfruttamento di tecniche “Living off the Land” limita al minimo la presenza nei sistemi e contribuisce ad eludere la detection.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence