Исследователи также подтвердили кооперацию HeartlessSoul с группой GOFFEE
«Лаборатория Касперского» обнаружила новые детали кибершпионской активности группы хакеров HeartlessSoul. Исследователи выяснили, что злоумышленники начали интересоваться геоинформационными данными российских организаций, главным образом государственных и промышленных, и могут объединяться для совместных операций с другой группой — GOFFEE.
Что известно о HeartlessSoul. По данным портала киберразведки Kaspersky Threat Intelligence Portal, злоумышленники активны как минимум с осени 2025 года и сосредоточены преимущественно на России. Среди целей группы — госсектор, предприятия в сфере промышленности и авиационных систем, а также частные пользователи.
От авиации до геймеров. Группа заражает организации с помощью троянца, который распространяется несколькими способами. Чаще всего злоумышленники рассылают сотрудникам компаний фишинговые письма с вредоносными вложениями. Кроме этого, HeartlessSoul разрабатывает поддельные сайты, где распространяет вредоносное ПО под видом легального программного обеспечения. Например, для отдельных целей создавались фальшивые онлайн-ресурсы авиационной тематики. На них предлагалось скачать якобы нужные рабочие программы, на деле заражённые троянцем. Также злоумышленники размещали вредонос на популярной легитимной платформе SourceForge под видом GearUP — сервиса для улучшения соединения в онлайн-играх.
Охота за геоинформационными данными. Одна из главных возможностей троянца — кража файлов. Помимо традиционных форматов — документов, архивов, изображений — атакующие также пытаются собрать GIS‑файлы, то есть геоинформационные данные организаций. Это позволяет атакующим получать сведения о дорогах, инженерных сетях и других объектах. Троянец также может собирать данные из мессенджера Telegram и браузеров — Google Chrome, Microsoft Edge, Яндекс Браузер и Opera.
Связь с хакерской группой GOFFEE. Технический анализ подтвердил связь HeartlessSoul с группой GOFFEE, что говорит о возможных совместных или скоординированных кампаниях. В частности, злоумышленники используют общую инфраструктуру и нацелены на российский госсектор.
Подробнее об активности HeartlessSoul — в статье на Securelist.ru.
Защитные решения «Лаборатории Касперского», такие как Kaspersky Endpoint Detection and Response Expert, успешно обнаруживают вредоносную активность в рамках описанных атак и детектируют её в том числе как: Trojan-Downloader.Script.Agent.*, HEUR:Trojan.Script.Agent.*, HEUR:Trojan.OLE2.Agent.*, HEUR:Trojan.WinLNK.Agent.*
Эксперты «Лаборатории Касперского» продолжают отслеживать активность HeartlessSoul и для защиты от этой угрозы рекомендуют организациям:
- предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью решений Threat Intelligence;
- применять комплексные защитные решения, такие как Kaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности;
- обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги, например на платформе Kaspersky Automated Security Awareness Platform.
Пользователям следует:
- скачивать только лицензионные версии программ из официальных источников;
- использовать надёжное защитное решение от вендора, эффективность технологий которого подтверждена независимыми тестированиями, напримерKaspersky Premium.
