Группировка HeartlessSoul охотятся за геоданными российских госструктур и предприятий
Группа кибершпионов HeartlessSoul, активная как минимум с осени 2025 года, начала интересоваться геоинформационными данными российских организаций, преимущественно государственных и промышленных. Как сообщили SecPost в компании «Лаборатория Касперского», злоумышленники также могут объединяться для совместных операций с другой группой — GOFFEE.
Цели HeartlessSoul включают госсектор, промышленные предприятия, авиационные системы и частных пользователей. Для заражения используется троянец, который распространяется через фишинговые письма с вредоносными вложениями, поддельные сайты (в том числе авиационной тематики) и легитимную платформу SourceForge под видом сервиса GearUP для улучшения соединения в онлайн-играх.
Одна из ключевых функций троянца — кража файлов. Помимо документов, архивов и изображений, атакующие собирают GIS-файлы (геоинформационные данные), что позволяет получать сведения о дорогах, инженерных сетях и других объектах. Как сообщили в компании, троянец также способен собирать данные из Telegram и браузеров Google Chrome, Microsoft Edge, Яндекс Браузер и Opera.
Технический анализ подтверждает связь HeartlessSoul с группой GOFFEE: злоумышленники используют общую инфраструктуру и нацелены на российский госсектор, что говорит о возможных скоординированных кампаниях.
Читайте также
