Un groupe de cyber-espionnage cible des agences gouvernementales russes et des entreprises du secteur de l'aviation pour voler des données géospatiales sensibles, selon un rapport publié cette semaine. Le groupe, connu sous le nom de **HeartlessSoul**, est actif depuis au moins septembre 2025 et a mené des cyberattaques conçues pour infiltrer des organisations russes et des utilisateurs individuels, ont déclaré des chercheurs de la société russe de cybersécurité **Kaspersky**. ### Données ciblées : Systèmes d'Information Géographique (SIG) Les attaquants semblent particulièrement intéressés par l'obtention de données de systèmes d'information géographique (SIG) – des formats de fichiers spécialisés qui peuvent révéler des informations détaillées sur l'infrastructure telles que les routes, les réseaux d'ingénierie, le terrain et potentiellement des installations stratégiques. Ces fichiers sont couramment utilisés par les organisations d'ingénierie, gouvernementales et industrielles et peuvent contenir des données cartographiques détaillées. « L'analyse de l'activité du groupe HeartlessSoul montre un intérêt ciblé des attaquants pour les entreprises de l'industrie russe dans le but d'obtenir des données confidentielles, en particulier des informations géospatiales », ont déclaré les chercheurs. ### Vecteurs d'infection : Hameçonnage et publicité malveillante Les pirates accèdent principalement par des e-mails de hameçonnage contenant des fichiers d'archives infectés. Ils mènent également des campagnes publicitaires malveillantes qui imitent des sites Web proposant des logiciels utilisés dans les systèmes d'aviation, trompant les victimes pour qu'elles téléchargent des installateurs infectés. Dans certains cas, les attaquants ont créé des domaines qui imitaient des ressources liées à l'aviation et les ont utilisés pour distribuer des logiciels malveillants déguisés en logiciels légitimes. Une fois téléchargés, les fichiers lancent automatiquement le processus d'infection. Les chercheurs ont également découvert que le groupe utilisait la plateforme d'hébergement de logiciels légitimes **SourceForge** pour distribuer des logiciels malveillants. Là, les attaquants ont téléchargé une fausse version de GearUP, un service conçu pour améliorer la qualité de la connexion dans les jeux en ligne. Les utilisateurs recherchant l'outil pouvaient plutôt télécharger une archive malveillante qui installait un spyware. ### Capacités des logiciels malveillants Une fois à l'intérieur de l'appareil d'une victime, le logiciel malveillant peut collecter une grande quantité de données, y compris des captures d'écran, des frappes au clavier, des données de navigateur et des fichiers stockés sur le système. Il peut également extraire des identifiants de connexion de l'application de messagerie **Telegram** et déterminer la localisation de l'appareil. ### Lien avec Goffee APT Au cours de leur enquête, les chercheurs de **Kaspersky** ont également identifié des liens entre HeartlessSoul et un autre groupe de pirates connu sous le nom de **Goffee**, qui avait précédemment ciblé des systèmes russes et était connu pour voler des fichiers sensibles sur des clés USB connectées à des ordinateurs infectés. Ce chevauchement pourrait indiquer des opérations coordonnées ou liées, a déclaré **Kaspersky**. ### Portée de ciblage plus large ? Bien que **Kaspersky** ait déclaré que la cible principale de la récente campagne de HeartlessSoul était l'industrie de l'aviation, l'analyste indépendant russe en cybersécurité Oleg Shakirov a déclaré que le logiciel malveillant décrit par les chercheurs était également distribué via des fichiers déguisés en simulateurs de drones FPV et en outils conçus pour contourner les restrictions sur le service Internet par satellite **Starlink**. Si cela est confirmé, cela pourrait suggérer que les attaques visaient non seulement les entreprises d'aviation, mais aussi les opérateurs de drones, les spécialistes des communications ou d'autres personnels militaires, a-t-il écrit sur son canal Telegram.