Группа HeartlessSoul крадёт геоданные российских госорганизаций

Раскрыты новые детали атак группировки HeartlessSoul, которая специализируется преимущественно на российских целях. Специалисты «Лаборатории Касперского» выяснили, что хакеры начали интересоваться геоинформационными данными российских организаций, а также, вероятно, проводят совместные операции с группой GOFFEE.

HeartlessSoul действует как минимум с осени 2025 года. В список её целей входят российский госсектор, промышленные предприятия, организации из сферы авиационных систем и частные пользователи.

Группа заражает организации с помощью трояна. Вредоносное ПО распространяется несколькими способами. Чаще всего злоумышленники рассылают сотрудникам компаний фишинговые письма с заражёнными вложениями. Также HeartlessSoul создаёт поддельные сайты для распространения вредоноса под видом легального программного обеспечения. Например, для отдельных целей хакеры разрабатывали фальшивые онлайн-ресурсы авиационной тематики. На таких сайтах предлагалось скачать якобы необходимые рабочие программы, которые на деле оказывались заражены трояном. Кроме того, злоумышленники размещали вредонос на популярной легитимной платформе SourceForge под видом GearUP. Этот сервис предназначен для улучшения соединения в онлайн-играх.

Одна из главных возможностей трояна заключается в краже файлов. Помимо традиционных форматов вроде документов, архивов и изображений, атакующие пытаются собрать GIS-файлы. Такие данные содержат геоинформационные сведения организаций о дорогах, инженерных сетях и других объектах. Троян способен собирать данные из мессенджера Telegram и нескольких браузеров, включая Google Chrome, Microsoft Edge, Яндекс Браузер и Opera. Технический анализ подтвердил связь HeartlessSoul с группой GOFFEE. В частности, хакеры используют общую инфраструктуру и нацелены на российский госсектор.