Eine Cyber-Spionagegruppe hat russische Regierungsbehörden und Unternehmen der Luftfahrtindustrie ins Visier genommen, um sensible Geodaten zu stehlen, so ein diese Woche veröffentlichter Bericht. Die Gruppe, bekannt als **HeartlessSoul**, ist seit mindestens September 2025 aktiv und hat Cyberangriffe durchgeführt, die darauf abzielen, russische Organisationen und einzelne Nutzer zu infiltrieren, sagten Forscher des russischen Cybersicherheitsunternehmens **Kaspersky**. ### Zielgerichtete Daten: Geoinformationssysteme (GIS) Die Angreifer scheinen besonders daran interessiert zu sein, Geoinformationssystem (GIS)-Daten zu erhalten – spezialisierte Dateiformate, die detaillierte Informationen über Infrastrukturen wie Straßen, technische Netze, Gelände und potenziell strategische Einrichtungen preisgeben können. Solche Dateien werden häufig von Ingenieur-, Regierungs- und Industrieorganisationen verwendet und können detaillierte Kartendaten enthalten. „Die Analyse der Aktivitäten der HeartlessSoul-Gruppe zeigt ein gezieltes Interesse der Angreifer an Unternehmen der russischen Industrie mit dem Ziel, vertrauliche Daten, insbesondere Geodaten, zu erhalten“, sagten die Forscher. ### Infektionsvektoren: Phishing und böswillige Werbung Die Hacker verschaffen sich hauptsächlich Zugang durch Phishing-E-Mails, die infizierte Archivdateien enthalten. Sie führen auch böswillige Werbekampagnen durch, die Websites imitieren, die Software für Luftfahrtsysteme anbieten, und locken Opfer dazu, infizierte Installer herunterzuladen. In einigen Fällen erstellten die Angreifer Domains, die luftfahrtbezogene Ressourcen nachahmten, und nutzten diese, um Malware als legitime Software getarnt zu verbreiten. Nach dem Download starten die Dateien automatisch den Infektionsprozess. Forscher stellten außerdem fest, dass die Gruppe die legitime Software-Hosting-Plattform **SourceForge** zur Verbreitung von Malware nutzte. Dort lud die Angreifer eine gefälschte Version von GearUP hoch, einem Dienst zur Verbesserung der Verbindungsqualität in Online-Spielen. Benutzer, die nach dem Tool suchten, konnten stattdessen ein bösartiges Archiv herunterladen, das Spyware installierte. ### Malware-Fähigkeiten Sobald die Malware auf dem Gerät eines Opfers ist, kann sie umfangreiche Daten sammeln, darunter Screenshots, Tastatureingaben, Browserdaten und auf dem System gespeicherte Dateien. Sie kann auch Anmeldeinformationen aus der Messaging-App **Telegram** extrahieren und den Standort des Geräts ermitteln. ### Verbindung zu Goffee APT Während ihrer Untersuchung identifizierten **Kaspersky**-Forscher auch Verbindungen zwischen HeartlessSoul und einer anderen Hacking-Gruppe namens **Goffee**, die zuvor russische Systeme ins Visier genommen hatte und dafür bekannt war, sensible Dateien von an infizierte Computer angeschlossene USB-Sticks zu stehlen. Die Überschneidung könnte auf koordinierte oder verwandte Operationen hindeuten, sagte **Kaspersky**. ### Breiteres Zielspektrum? Obwohl **Kaspersky** sagte, das Hauptziel der jüngsten Kampagne von HeartlessSoul sei die Luftfahrtindustrie gewesen, sagte der unabhängige russische Cybersicherheitsanalyst Oleg Shakirov, dass die von den Forschern beschriebene Malware auch über Dateien verbreitet wurde, die als FPV-Drohnensimulatoren und Tools zur Umgehung von Beschränkungen des Satelliten-Internetdienstes **Starlink** getarnt waren. Wenn dies bestätigt wird, könnte dies darauf hindeuten, dass die Angriffe nicht nur auf Luftfahrtunternehmen, sondern auch auf Drohnenbetreiber, Kommunikationsspezialisten oder anderes Militärpersonal abzielten, schrieb er auf seinem Telegram-Kanal.