«Лаборатория Касперского» рассказала о выявлении новых аспектов кибершпионской деятельности хакерской группы HeartlessSoul. Специалисты установили, что злоумышленники начали проявлять интерес к геоинформационным данным российских организаций, в первую очередь государственных и промышленных, и, возможно, объединяют усилия для совместных операций с другой группировкой — GOFFEE.
Что известно о HeartlessSoul. Согласно информации портала киберразведки Kaspersky Threat Intelligence Portal, хакеры действуют как минимум с осени 2025 года и нацелены преимущественно на Россию. В число их жертв входят государственные структуры, промышленные предприятия, компании авиационной отрасли, а также обычные пользователи.
От авиации до геймеров. Группа внедряется в организации с помощью трояна, который распространяется разными методами. Наиболее часто злоумышленники отправляют сотрудникам компаний фишинговые письма с опасными вложениями. Кроме того, HeartlessSoul создаёт поддельные сайты, где предлагает вредоносное ПО под видом легитимных программ. Например, для конкретных целей разрабатывались фальшивые интернет-ресурсы на авиационную тематику. На них пользователям предлагалось загрузить якобы необходимые рабочие приложения, которые на деле оказывались заражёнными трояном. Также хакеры размещали вредонос на популярной легитимной платформе SourceForge, маскируя его под GearUP — сервис для улучшения соединения в онлайн-играх.
Охота за геоинформационными данными. Одна из ключевых функций трояна — кража файлов. Помимо стандартных форматов, таких как документы, архивы и изображения, атакующие также стремятся заполучить GIS-файлы, то есть геоинформационные данные организаций. Это даёт им доступ к информации о дорогах, инженерных сетях и других объектах. Троян также способен собирать данные из мессенджера Telegram и браузеров — Google Chrome, Microsoft Edge, «Яндекс Браузер» и Opera.
Связь с хакерской группой GOFFEE. Технический анализ подтвердил взаимосвязь HeartlessSoul с группировкой GOFFEE, что указывает на возможные совместные или скоординированные кампании. В частности, злоумышленники пользуются общей инфраструктурой и нацелены на российский госсектор.
Защитные решения «Лаборатории Касперского», включая Kaspersky Endpoint Detection and Response Expert, успешно выявляют вредоносную активность в рамках описанных атак и детектируют её, в том числе, как: Trojan-Downloader.Script.Agent.*, HEUR:Trojan.Script.Agent.*, HEUR:Trojan.OLE2.Agent.*, HEUR:Trojan.WinLNK.Agent.*
Специалисты «Лаборатории Касперского» постоянно следят за действиями HeartlessSoul и для противодействия данной угрозе советуют компаниям: обеспечивать работникам отдела информационной безопасности доступ к актуальным данным о последних методах, приёмах и процедурах хакеров, в частности, через инструменты Threat Intelligence; внедрять комплексные системы защиты, например, Kaspersky Symphony, позволяющие создать гибкую и результативную инфраструктуру безопасности; повышать цифровую грамотность персонала. Для этого пригодятся профильные курсы или учебные программы, такие как на платформе Kaspersky Automated Security Awareness Platform.
Пользователям рекомендуется: загружать исключительно лицензионное программное обеспечение из проверенных источников; применять надёжное защитное решение от разработчика, чьи технологии подтвердили свою эффективность в независимых тестах, к примеру, Kaspersky Premium.
