Um grupo de ciberespionagem tem visado agências governamentais russas e empresas do setor de aviação para roubar dados geoespaciais sensíveis, de acordo com um relatório divulgado esta semana. O grupo, conhecido como **HeartlessSoul**, está ativo desde pelo menos setembro de 2025 e realizou ciberataques projetados para infiltrar organizações russas e usuários individuais, disseram pesquisadores da empresa russa de cibersegurança **Kaspersky**. ### Dados Alvo: Sistemas de Informação Geoespacial (GIS) Os atacantes parecem particularmente interessados em obter dados de sistemas de informação geográfica (GIS) – formatos de arquivo especializados que podem revelar informações detalhadas sobre infraestrutura, como estradas, redes de engenharia, terreno e instalações potencialmente estratégicas. Tais arquivos são comumente usados por organizações de engenharia, governamentais e industriais e podem conter dados de mapeamento detalhados. “A análise da atividade do grupo HeartlessSoul mostra um interesse direcionado dos atacantes em empresas da indústria russa com o objetivo de obter dados confidenciais, particularmente informações geoespaciais”, disseram os pesquisadores. ### Vetores de Infecção: Phishing e Publicidade Maliciosa Os hackers ganham acesso principalmente por meio de e-mails de phishing contendo arquivos compactados infectados. Eles também realizam campanhas de publicidade maliciosa que imitam sites que oferecem software usado em sistemas de aviação, enganando as vítimas para que baixem instaladores infectados. Em alguns casos, os atacantes criaram domínios que imitavam recursos relacionados à aviação e os usaram para distribuir malware disfarçado de software legítimo. Uma vez baixados, os arquivos iniciam automaticamente o processo de infecção. Pesquisadores também descobriram que o grupo usou a plataforma legítima de hospedagem de software **SourceForge** para distribuir malware. Lá, os atacantes carregaram uma versão falsa do GearUP, um serviço projetado para melhorar a qualidade da conexão em jogos online. Usuários que procuravam a ferramenta poderiam, em vez disso, baixar um arquivo compactado malicioso que instalava spyware. ### Capacidades do Malware Uma vez dentro do dispositivo de uma vítima, o malware pode coletar dados extensos, incluindo capturas de tela, pressionamentos de teclas, dados do navegador e arquivos armazenados no sistema. Ele também pode extrair credenciais de login do aplicativo de mensagens **Telegram** e determinar a localização do dispositivo. ### Ligação com o APT Goffee Durante sua investigação, pesquisadores da **Kaspersky** também identificaram ligações entre o HeartlessSoul e outro grupo de hackers conhecido como **Goffee**, que já havia visado sistemas russos e era conhecido por roubar arquivos sensíveis de pen drives conectados a computadores infectados. A sobreposição pode indicar operações coordenadas ou relacionadas, disse a **Kaspersky**. ### Escopo de Alvo Mais Amplo? Embora a **Kaspersky** tenha dito que o principal alvo da campanha recente do HeartlessSoul foi a indústria de aviação, o analista independente de cibersegurança russo Oleg Shakirov disse que o malware descrito pelos pesquisadores também foi distribuído por meio de arquivos disfarçados de simuladores de drones FPV e ferramentas projetadas para contornar restrições no serviço de internet via satélite **Starlink**. Se confirmado, isso poderia sugerir que os ataques visavam não apenas empresas de aviação, mas também operadores de drones, especialistas em comunicações ou outro pessoal militar, escreveu ele em seu canal do Telegram.