サイバースパイグループが、ロシア政府機関および航空業界の企業を標的に、機密性の高い地理空間データを盗み取っていることが、今週発表されたレポートで明らかになりました。 「**HeartlessSoul**」として知られるこのグループは、少なくとも2025年9月から活動しており、ロシアの組織および個人ユーザーを侵害することを目的としたサイバー攻撃を実行していると、ロシアのサイバーセキュリティ企業「**Kaspersky**」の研究者は述べています。 ### 標的となるデータ：地理情報システム（GIS） 攻撃者は、道路、エンジニアリングネットワーク、地形、そして潜在的に戦略的施設に関する詳細情報を提供する特殊なファイル形式である地理情報システム（GIS）データを取得することに特に興味を持っているようです。これらのファイルは、エンジニアリング、政府、産業組織で一般的に使用されており、詳細なマッピングデータを含んでいます。 「HeartlessSoulグループの活動分析は、ロシア産業内の企業に対する攻撃者の標的型関心を示しており、特に地理空間情報を含む機密データの取得を目的としています」と研究者は述べています。 ### 感染経路：フィッシングと悪意のある広告 ハッカーは主に、感染したアーカイブファイルを含むフィッシングメールを通じてアクセスを得ています。また、航空システムで使用されるソフトウェアを提供するウェブサイトを模倣した悪意のある広告キャンペーンを実行し、被害者を感染したインストーラーのダウンロードに誘導しています。 一部のケースでは、攻撃者は航空関連リソースを模倣したドメインを作成し、正規のソフトウェアとして偽装したマルウェアを配布するために使用しました。ダウンロードされると、ファイルは自動的に感染プロセスを開始します。 研究者たちは、このグループが正規のソフトウェアホスティングプラットフォームである「**SourceForge**」を使用してマルウェアを配布していたことも発見しました。そこで攻撃者は、オンラインゲームでの接続品質を向上させるサービスであるGearUPの偽バージョンをアップロードしました。このツールを探していたユーザーは、代わりにスパイウェアをインストールする悪意のあるアーカイブをダウンロードしてしまう可能性がありました。 ### マルウェアの機能 被害者のデバイスに侵入すると、マルウェアはスクリーンショット、キーストローク、ブラウザデータ、システムに保存されているファイルなど、広範なデータを収集できます。また、メッセージングアプリ「**Telegram**」からログイン認証情報を抽出し、デバイスの位置を特定することも可能です。 ### Goffee APTとの関連 調査中、「**Kaspersky**」の研究者は、HeartlessSoulと、以前からロシアシステムを標的にし、感染したコンピューターに接続されたフラッシュドライブから機密ファイルを盗むことで知られていた「**Goffee**」という別のハッキンググループとの関連性も特定しました。 「この重複は、連携または関連する操作を示唆している可能性があります」と「**Kaspersky**」は述べています。 ### より広範な標的範囲か？ 「**Kaspersky**」は、HeartlessSoulの最近のキャンペーンの主な標的は航空業界であったと述べていますが、独立系のロシアのサイバーセキュリティアナリストであるOleg Shakirov氏は、研究者によって説明されたマルウェアが、FPVドローンシミュレーターや衛星インターネットサービス「**Starlink**」の制限を回避するためのツールとして偽装されたファイルを通じて配布されていたとも述べています。 これが確認されれば、攻撃は航空会社だけでなく、ドローンオペレーター、通信スペシャリスト、その他の軍関係者を対象としていた可能性を示唆する可能性があると、彼は自身のTelegramチャンネルに書き込んでいます。