Un grupo de ciberespionaje ha estado atacando agencias gubernamentales rusas y empresas de la industria de la aviación para robar datos geoespaciales sensibles, según un informe publicado esta semana. El grupo, conocido como **HeartlessSoul**, ha estado activo desde al menos septiembre de 2025 y ha llevado a cabo ciberataques diseñados para infiltrarse en organizaciones rusas y usuarios individuales, dijeron investigadores de la firma rusa de ciberseguridad **Kaspersky**. ### Datos Dirigidos: Sistemas de Información Geoespacial (GIS) Los atacantes parecen particularmente interesados en obtener datos de sistemas de información geográfica (GIS), formatos de archivo especializados que pueden revelar información detallada sobre infraestructura como carreteras, redes de ingeniería, terreno y potencialmente instalaciones estratégicas. Estos archivos son comúnmente utilizados por organizaciones de ingeniería, gubernamentales e industriales y pueden contener datos de mapeo detallados. “El análisis de la actividad del grupo HeartlessSoul muestra un interés específico por parte de los atacantes en empresas de la industria rusa con el objetivo de obtener datos confidenciales, particularmente información geoespacial”, dijeron los investigadores. ### Vectores de Infección: Phishing y Publicidad Maliciosa Los hackers obtienen acceso principalmente a través de correos electrónicos de phishing que contienen archivos de archivo infectados. También ejecutan campañas de publicidad maliciosa que imitan sitios web que ofrecen software utilizado en sistemas de aviación, engañando a las víctimas para que descarguen instaladores infectados. En algunos casos, los atacantes crearon dominios que imitaban recursos relacionados con la aviación y los utilizaron para distribuir malware disfrazado de software legítimo. Una vez descargados, los archivos inician automáticamente el proceso de infección. Los investigadores también descubrieron que el grupo utilizó la plataforma legítima de alojamiento de software **SourceForge** para distribuir malware. Allí, los atacantes subieron una versión falsa de GearUP, un servicio diseñado para mejorar la calidad de la conexión en juegos en línea. Los usuarios que buscaban la herramienta podían descargar en su lugar un archivo malicioso que instalaba spyware. ### Capacidades del Malware Una vez dentro del dispositivo de una víctima, el malware puede recopilar una gran cantidad de datos, incluidas capturas de pantalla, pulsaciones de teclas, datos del navegador y archivos almacenados en el sistema. También puede extraer credenciales de inicio de sesión de la aplicación de mensajería **Telegram** y determinar la ubicación del dispositivo. ### Vínculo con Goffee APT Durante su investigación, los investigadores de **Kaspersky** también identificaron vínculos entre HeartlessSoul y otro grupo de hackers conocido como **Goffee**, que previamente había atacado sistemas rusos y era conocido por robar archivos sensibles de unidades flash conectadas a computadoras infectadas. La superposición puede indicar operaciones coordinadas o relacionadas, dijo **Kaspersky**. ### ¿Alcance de Ataque Más Amplio? Aunque **Kaspersky** dijo que el objetivo principal de la reciente campaña de HeartlessSoul era la industria de la aviación, el analista independiente de ciberseguridad ruso Oleg Shakirov dijo que el malware descrito por los investigadores también se distribuía a través de archivos disfrazados de simuladores de drones FPV y herramientas diseñadas para eludir las restricciones del servicio de internet satelital **Starlink**. Si se confirma, eso podría sugerir que los ataques no solo estaban dirigidos a empresas de aviación, sino también a operadores de drones, especialistas en comunicaciones u otro personal militar, escribió en su canal de Telegram.