Un nouveau rapport désigne le groupe de hackers pro-ukrainien Black Owl comme une menace prioritaire pour les institutions russes.
Rejoignez-nous sur vos réseaux sociaux
Aucun spam. Désinscription en un clic. Votre vie privée est respectée.
Depuis le début de l’année 2024, un groupe cybercriminel discret, baptisé Black Owl ou BO Team, s’est imposé comme l’un des acteurs les plus redoutés dans le conflit numérique entre l’Ukraine et la Russie. Opérant avec une efficacité redoutable et une autonomie intrigante, ce collectif se distingue non seulement par la puissance de ses attaques mais aussi par son modus operandi déroutant, capable de désorienter même les experts les plus chevronnés en cybersécurité. À mesure que les tensions géopolitiques s’exacerbent, la montée en puissance de Black Owl alimente les inquiétudes croissantes autour de la sécurité des infrastructures critiques russes.
Un arsenal autonome et des tactiques sophistiquées
Selon les chercheurs en cybersécurité de Kaspersky, l’émergence de BO Team remonte à janvier 2024. Ce groupe, peu documenté jusqu’alors, aurait mis au point son propre arsenal de logiciels malveillants, parmi lesquels figurent les portes dérobées DarkGate, BrockenDoor et Remcos. Ces outils permettent un accès prolongé et discret aux systèmes ciblés. Contrairement aux groupes de hackers conventionnels, qui agissent rapidement après avoir pénétré un réseau, BO Team adopte une stratégie de latence : il patiente parfois plusieurs semaines, voire plusieurs mois, avant de lancer une attaque. Cette méthode inhabituelle rend sa détection d’autant plus difficile. Un peu comme des drones cachés dans des maisons, et qui frappent au moment décidé.
Le mode d’infiltration principal utilisé reste l’hameçonnage (phishing). Des courriels sophistiqués, accompagnés de pièces jointes piégées, servent de point d’entrée. Une fois infiltrés, les hackers neutralisent les sauvegardes et détruisent les infrastructures virtuelles à l’aide d’outils comme SDelete, un utilitaire de suppression sécurisé développé par Microsoft. Certains cas recensés indiquent également l’utilisation du rançongiciel Babuk, destiné à chiffrer les données et extorquer des rançons aux victimes. Les logiciels malveillants sont souvent déguisés sous l’apparence de programmes Windows légitimes, une technique de camouflage qui leur permet d’échapper à de nombreuses solutions antivirus.
L’efficacité du groupe repose également sur sa capacité à rester indépendant. Contrairement à d’autres entités hacktivistes pro-ukrainiennes qui partagent leurs outils ou collaborent sur des opérations communes, souvenez-vous de la Cyber Army Ukrainienne que ZATAZ vous présentait en 2022 [ainsi que la cyber armée russe de l’époque], BO Team agit de manière isolée. Cette absence de liens apparents renforce sa singularité et complique la compréhension de ses motivations profondes.
Des attaques ciblées, à forte portée symbolique
Les cibles de Black Owl sont exclusivement situées en Russie. Selon les données disponibles, le groupe s’en prend prioritairement aux entreprises publiques et aux secteurs stratégiques comme les télécommunications, les technologies ou l’industrie manufacturière. La finalité semble double : causer un maximum de perturbations dans les services critiques et soutirer des gains financiers. Toutefois, les experts s’interrogent sur la hiérarchisation de ces objectifs, tant les opérations menées présentent une dimension symbolique marquée.
L’une des attaques les plus spectaculaires s’est produite en mai 2025. BO Team aurait détruit près d’un tiers du système national de dépôt électronique des dossiers judiciaires russes. Cette action a engendré des retards significatifs dans les procédures judiciaires et exposé une partie du système juridique russe à un risque de paralysie. Ce type d’opération, aux répercussions administratives et politiques directes, alimente la perception d’un affrontement cybernétique hybride entre les deux pays.
Les services de renseignement militaire ukrainiens (HUR) ont, pour leur part, reconnu avoir coopéré avec BO Team sur plusieurs missions. Parmi les plus notables, figurent des intrusions dans l’Agence fédérale russe de signature numérique et dans un centre de recherche scientifique non identifié. Aucune preuve publique ne permet toutefois de mesurer l’ampleur exacte de cette collaboration ni de savoir si elle perdure aujourd’hui.
Au-delà des vecteurs techniques, BO Team soigne aussi sa communication. Les hackers publient régulièrement les résultats de leurs attaques. Ce choix s’explique à la fois par le besoin de diffusion rapide, l’absence de modération stricte et la portée médiatique assurée. Ces publications sont souvent accompagnées de messages de revendication destinés à intimider les victimes ou à renforcer la visibilité du groupe auprès d’un public plus large.
Cette stratégie de communication participe à l’escalade informationnelle. Elle entretient également une forme de guerre psychologique, où la peur, la perte de contrôle et le sentiment d’impuissance deviennent des armes à part entière. L’enjeu pour Black Owl n’est donc pas uniquement d’infliger des dommages matériels mais de maintenir une pression constante sur les institutions russes, en instaurant un climat d’insécurité numérique permanent.
La position de Kaspersky est d’autant plus notable que l’entreprise est historiquement perçue comme proche des autorités russes. Voir ses chercheurs désigner BO Team comme une « menace majeure » laisse peu de place au doute quant à la gravité de la situation. Le rapport publié par la firme souligne également le défi inédit que représente ce type de groupe dans le paysage cyber russe actuel, où les menaces extérieures sont généralement attribuées à des entités plus structurées ou étatiques.
L’IT Army Ukrainienne diffuse des outils pour lancer des cyber attaques !
L’équilibre instable du front numérique
L’activité de Black Owl s’inscrit dans un contexte géopolitique exacerbé, où la frontière entre guerre conventionnelle et guerre numérique tend à s’effacer. Depuis l’invasion de l’Ukraine par la Russie en février 2022, de nombreux groupes pro-ukrainiens ont émergé, menant des actions de cyber résistance plus ou moins coordonnées. Toutefois, la plupart de ces collectifs fonctionnent en réseau, partagent leurs outils et revendiquent leurs actions sous des bannières communes, comme IT Army of Ukraine. Cette dernière continue, depuis 2022, à fournir des outils [à qui veut] pour lancer des cyber attaques. Un vrai problème à mes yeux. Par exemple, un adolescent veut soutenir la cause Ukrainienne. Il utilise l’outil proposé par l’ITAU… et le voilà devenir un cyber criminel aux yeux de la loi de son pays (DDoS ; IP local ; Etc.)
BO Team, en revanche, se distingue par une méthode plus autonome, voire clandestine. Son absence d’affiliation publique, son arsenal propre et son modus operandi non linéaire le rendent difficile à intégrer dans les grilles d’analyse habituelles. Le rapport de l’entreprise Russe Kaspersky ne mentionne pas d’indication claire sur l’identité des membres du groupe, leur localisation exacte ou leurs sources de financement. Il précise néanmoins que leur niveau technique est élevé et que leur organisation interne laisse supposer une expérience préalable dans le domaine cyber.
Le cas de Black Owl illustre l’évolution rapide et complexe des menaces numériques contemporaines. À la croisée de l’idéologie, de la stratégie et du profit, ces groupes hybrides redéfinissent les contours de la cybersécurité moderne. Pour la Russie, la montée en puissance de BO Team constitue un défi inédit. Elle révèle les failles persistantes dans les défenses cyber nationales, mais aussi la vulnérabilité croissante des infrastructures critiques à des attaques ciblées, patientes et intelligemment orchestrées. Alors que le conflit russo-ukrainien continue de se prolonger, le cyberespace demeure un champ de bataille parallèle, où des groupes comme Black Owl pourraient bien jouer un rôle clé dans le dénouement des tensions.
En 2024, Le centre de recherche Solar 4RAYS découvrait une série d’attaques menées par le groupe de hackers Lifting Zmiy. Ces présumés cyber attaques auraient ciblé à la fois des agences gouvernementales et des entreprises privées russes. Les Hacktivistes ont adopté une approche furtive et méthodique, s’appuyant notamment sur des équipements SCADA piratés, comme des contrôleurs d’ascenseurs, pour y installer leurs serveurs de commande.
Les premières traces de ce groupe ont été repérées fin 2023 via une chaîne Telegram. Plusieurs attaques, toutes reposant sur des méthodes similaires : intrusion par force brute, utilisation d’outils open source comme Reverse SSH, GSocket ou des portes dérobées, et exploitation de failles connues dans le matériel industriel russe.
Lifting Zmiy cible en priorité des données confidentielles. Une fois ces informations exfiltrées, ou l’accès à l’infrastructure compromis, le groupe passe à la suppression destructrice des systèmes. Fait notable : lors d’une attaque menée en 2024, les connexions des pirates ont transité par des adresses IP Starlink opérant en Ukraine, marquant un changement tactique notable.
Rejoignez-nous sur vos réseaux sociaux
Aucun spam. Désinscription en un clic. Votre vie privée est respectée.
