Хакеры из HeartlessSoul воруют данные о российских дорогах, сетях и объектах через фишинговые письма и трояны

Группа HeartlessSoul атаковала российские организации с особым интересом к геоинформационным данным. По данным «Лаборатории Касперского», злоумышленники работают как минимум с осени 2025 года, используют фишинговые письма, поддельные сайты и троянское ПО, а среди целей фигурируют государственные структуры, промышленные предприятия, авиационные компании и частные пользователи. Исследователи также допускают связь HeartlessSoul с группой GOFFEE из-за схожей инфраструктуры.

История выглядит очередным сигналом для отраслей, где геоданные давно перестали быть просто файлами на сервере и превратились в часть рабочих процессов. Карты, сведения о дорогах, инженерных сетях, объектах и маршрутах представляют высокую ценность для атакующих. Раньше подобные данные воспринимались как узкоспециализированный технический ресурс, а сейчас они заметно перешли в поле интереса шпионских групп.

В пресс-службе «Лаборатории Касперского» сообщили «Газете.Ru», что HeartlessSoul действует как минимум с осени 2025 года. Группа атакует российские компании с помощью троянского программного обеспечения, распространяемого через фишинговые письма с вредоносными вложениями и поддельные сайты. Подобные страницы маскируются под легитимные ресурсы, чтобы не вызывать подозрений у пользователей.

Отдельно исследователи выделяют авиационную тематику атак. В некоторых эпизодах злоумышленники создавали фальшивые онлайн-площадки, связанные с авиацией, и предлагали скачать заражённые программы. Для компаний из этой сферы подобная маскировка особенно опасна. Сотрудник видит сайт с привычным профессиональным контекстом и воспринимает загрузку как рабочую операцию.

Интересно, что одним из каналов распространения вредоноса стал сервис для онлайн-игр GearUP, под который замаскировали троян на платформе SourceForge.

Подобный приём расширяет потенциальную аудиторию атаки. Под атаку попадают не одни лишь сотрудники организаций, но и частные пользователи, чьи устройства затем превращаются в источник дополнительных данных или точку входа в более сложную цепочку.

Основная задача трояна связана с кражей информации. Он умеет собирать большой объём данных с заражённого устройства:

• документы и текстовые файлы пользователя;
• архивы и резервные копии данных;
• изображения и графические материалы;
• GIS-файлы с геоинформационным содержимым;
• служебную переписку и рабочие материалы.

Особое внимание вредонос уделяет именно GIS-данным. Подобные файлы содержат сведения о дорогах, инженерных сетях и других объектах, важных для промышленности, транспорта, строительства, логистики и работы государственных структур.

Также троян умеет извлекать данные из Telegram и популярных браузеров:

• Google Chrome;
• Microsoft Edge;
• Яндекс Браузер;
• Opera.

Через браузеры и мессенджеры злоумышленники получают учётные записи, служебную переписку, сохранённые данные, токены и другую информацию для дальнейшего развития атаки.

Технический анализ «Лаборатории Касперского» показал пересечения инфраструктуры HeartlessSoul с группой GOFFEE. Исследователи допускают совместные или скоординированные действия двух команд. Среди возможных направлений атак называют российский государственный сектор, где геоданные, служебные документы и доступ к внутренним системам обладают особенно высокой ценностью.

В обстановке последних месяцев вспоминается недавняя активность CapFix. Ранее сообщалось об атаках этой группы на российские промышленные и авиастроительные предприятия с конца 2025 года до марта 2026 года. По данным Positive Technologies, злоумышленники рассылали письма, замаскированные под официальную переписку от государственных структур, чтобы убедить получателей открыть вредоносные вложения.

Атакующие давно перешли от случайных рассылок к точечному подбору тематики под конкретную отрасль, делая ставку на доверие к привычным рабочим процессам.

Сходство между подобными кампаниями видно в выборе целей и методах социальной инженерии. Атакующие точечно подбирают мишени из приоритетных отраслей:

• авиационные предприятия и поставщики авиаотрасли;
• промышленные предприятия с распределённой инфраструктурой;
• государственные структуры и ведомства;
• инфраструктурные компании с GIS-данными;
• транспортно-логистический сектор и телеком.

Ранее также сообщалось об усилении политически мотивированных атак на российские организации в 2025 году со смещением фокуса на инфраструктурные отрасли. В исследовании Threat Zone 2026 и материалах профильных компаний приоритетными целями называли транспортно-логистический сектор и телеком. Кампания HeartlessSoul хорошо вписывается в эту же линию, где интерес к геоданным выглядит не случайной деталью, а частью более широкой охоты за инфраструктурной информацией.

Для компаний риск выходит далеко за пределы заражения одного компьютера. После получения GIS-файлов, документов, архивов, переписки и данных браузеров атакующие собирают подробную картину внутренних процессов организации. Подобная информация помогает им точнее планировать новые атаки, подбирать темы писем, искать новых сотрудников-целей и находить слабые места в инфраструктуре.

Особую осторожность стоит проявлять с письмами и сайтами, выглядящими профильно и профессионально. Именно подобная маскировка часто работает лучше обычного массового фишинга. При связке ресурса с авиацией, промышленностью, картографией, инженерными данными или рабочими сервисами доверять ему без проверки не стоит.

В редакции CISOCLUB уверены, что кампания HeartlessSoul показывает превращение геоинформационных данных в полноценную цель шпионажа. Бизнесу необходимо воспринимать GIS-файлы, служебные карты, сведения о дорогах, сетях и объектах как чувствительный актив, а не как обычные технические материалы. При утечке подобных данных вместе с перепиской, документами и сессиями из браузеров последствия затронут не только ИТ-периметр, но и физическую инфраструктуру, логистику и производственные процессы.