Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Просто безобидный ярлык. Одно нажатие открывает хакерам доступ к авиационным системам

leer en español

22797
HeartlessSoul Лаборатория Касперского RAT шпионаж GPS
Просто безобидный ярлык. Одно нажатие открывает хакерам доступ к авиационным системам
HeartlessSoul Лаборатория Касперского RAT шпионаж GPS

Специалисты обнаружили волну атак на государственные и авиационные компании.

image

Группировка HeartlessSoul тихо охотится за данными, которые обычно лежат глубже обычных документов. Речь идёт не только о файлах офисных форматов, а о геоинформации – картах, схемах инфраструктуры и моделях местности. Такие данные особенно ценны для промышленности и авиации, и именно на них делают ставку злоумышленники.

Специалисты Лаборатории Касперского отслеживали деятельность HeartlessSoul с февраля 2026 года и обнаружили новые детали атак. Группа действует как минимум с осени 2025 года. Среди целей – государственные организации и компании, связанные с промышленностью и авиационными системами, а также отдельные пользователи.

Заражение начинается вполне привычно. Чаще всего жертва получает письмо с архивом, внутри которого лежит файл ярлыка, надстройки для электронных таблиц или установщик. После открытия запускается цепочка команд, которые незаметно загружают вредоносный код. В некоторых случаях злоумышленники эксплуатируют уязвимость ZDI-CAN-25373: она позволяет скрыть вредоносную команду внутри ярлыка, и пользователь видит только безобидную часть пути.

Есть и другой способ. Атакующие создают поддельные сайты с «программами для авиации» или популярными сервисами и продвигают их через рекламу. Пользователь скачивает установщик и сам запускает заражение. В одной из кампаний вредоносный архив распространялся даже через платформу SourceForge, где его маскировали под инструмент для улучшения соединения в играх.

После запуска на устройстве устанавливается среда выполнения JavaScript и загружается основной модуль – троян удалённого доступа. Он закрепляется в системе, добавляет себя в автозагрузку и создаёт задания в планировщике, чтобы не исчезнуть после перезагрузки. Дальше начинается сбор данных. Вредоносный код делает скриншоты, записывает нажатия клавиш, копирует содержимое буфера обмена и выполняет команды через PowerShell. Отдельные модули собирают информацию о системе, правах пользователя и даже местоположении устройства.

Особый интерес вызывает список файлов, которые ищет троянец. Помимо документов и архивов, он целенаправленно выкачивает геоинформационные форматы: файлы карт, GPS-треки, проекты картографических систем и цифровые модели рельефа. Такие данные позволяют получить детальное представление об инфраструктуре – от дорог до инженерных сетей и стратегических объектов. Дополнительно вредоносный код забирает данные из браузеров, включая cookie-файлы и ключи шифрования, а также копирует содержимое папки мессенджера Telegram. Все собранные файлы архивируются и отправляются на серверы злоумышленников.

Инфраструктура атак частично пересекается с другой группировкой – GOFFEE. Домены и серверы, которые используются в кампаниях, иногда совпадают, а приманки выглядят схожими. Обе группы активно используют PowerShell для загрузки и запуска вредоносных компонентов. HeartlessSoul продолжает атаки и сейчас. Кампании демонстрируют чёткий интерес к промышленным данным, особенно связанным с географией и инфраструктурой. Такой фокус указывает на целенаправленный сбор информации, которая может иметь стратегическую ценность.