Группа HeartlessSoul сместила интерес к геоинформационным данным российских организаций. Целями стали государственные структуры, промышленные предприятия, компании из сферы авиационных систем и отдельные пользователи. Заражение идёт через фишинговые письма, вредоносные установщики и поддельные сайты с авиационным ПО, а финальная нагрузка — JavaScript-RAT — умеет красть документы, данные браузеров, Telegram и ГИС-файлы: карты, треки, проекты QGIS, шейп-файлы и цифровые модели рельефа.
HeartlessSoul активна как минимум с сентября 2025 года. «Лаборатория Касперского» непрерывно отслеживает её с февраля 2026 года и в конце апреля раскрыла новые детали кампании: актуальные адреса управляющих серверов, функции основного RAT-троянца и дополнительные модули для сбора данных.
Главная особенность новой волны — интерес к ГИС-данным. Это файлы географических информационных систем: KML, KMZ, GPX, SHP, DBF, GeoJSON, проекты QGIS, документы ArcGIS, растровые геоданные и модели рельефа. Для обычного пользователя такие расширения выглядят как скучная инженерная экзотика. Для атакующего это карта реальной инфраструктуры: дороги, инженерные сети, рельеф, производственные площадки, объекты связи и другие чувствительные сведения.
Злоумышленники используют несколько каналов доставки. Первый — фишинговые письма с архивами, внутри которых лежат LNK, XLL или MSI-файлы. Пользователь открывает вложение, после чего запускается цепочка PowerShell-команд, скачивается JavaScript-загрузчик и разворачивается основной RAT. В части ярлыков исследователи увидели эксплуатацию техники ZDI-CAN-25373: вредоносная команда прячется за длинным путём с пробелами или переносами строк, а Проводник Windows показывает только безопасно выглядящую часть.
Второй канал — вредоносная реклама и поддельные сайты. Для отдельных целей HeartlessSoul поднимала ресурсы авиационной тематики и предлагала скачать якобы рабочие программы. Один из примеров — установщик BattleFlight-Installer.exe, размещённый на поддельном домене battleflight[.]pro. После запуска он создавал helper.vbs и run-script.ps1, а PowerShell-скрипт скачивал index.js.
Третий канал выглядит особенно неприятно: вредоносное ПО размещали на легитимной платформе SourceForge под видом GearUP — сервиса для улучшения соединения в онлайн-играх. Жертва находила проект, скачивала архив, запускала MSI-установщик и получала ту же цепочку заражения: PowerShell, Node.js, JavaScript-загрузчик и основной RAT.
Технически HeartlessSoul делает ставку на JavaScript. Загрузчик index.js устанавливается в систему, получает основную нагрузку с управляющего сервера и умеет закрепляться в Windows. Для автозапуска он создаёт index.vbs, ярлык CommonApp.lnk в папке автозагрузки и задачу планировщика ZeroDriveBackupTaskSystem141.1.7272.0. Такой набор не выглядит изящно, зато работает: вредоносный код переживает перезагрузку и ждёт команд оператора.
У загрузчика есть ещё одна деталь — резервное получение адреса управляющего сервера через Solana Name Service. Если в системе задана переменная SNS_DOMAIN, скрипт пытается взять адрес C2 из записей SNS. Такой подход усложняет блокировку инфраструктуры: домен можно убрать, но резервный канал для поиска управляющего адреса остаётся. Positive Technologies ещё в феврале описывала кампанию HeartlessSoul с использованием блокчейна Solana для получения альтернативных C2-адресов.
Финальная нагрузка — обфусцированный JavaScript-RAT. Он умеет делать снимки экрана, читать буфер обмена, запускать кейлоггер, собирать сведения о системе, определять местоположение устройства, выполнять PowerShell-команды, загружать и запускать файлы, перечислять диски и каталоги, выгружать файлы на сервер атакующих, собирать данные Outlook и получать SSH-модуль. Большая часть функций реализована через PowerShell, поэтому атака активно использует штатные возможности Windows.
Для кражи файлов HeartlessSoul использует отдельную команду сбора данных. В список попадают офисные документы, PDF, архивы, изображения, конфигурационные файлы и набор геоформатов. После сбора данные отправляются POST-запросом на сервер атакующих с идентификатором жертвы. Идентификатор строится из серийного номера диска C:, имени пользователя и имени хоста, после чего превращается в MD5-хэш.
Отдельно троян собирает данные браузеров Chrome, Edge, «Яндекс Браузер» и Opera: cookies, Local State, Local Storage и ключи, нужные для доступа к пользовательским артефактам. Telegram тоже попал в зону интереса: вредонос копирует каталог tdata, архивирует его и отправляет наружу. Для организации это несет риск захвата сессий, переписок и доступа к рабочим сервисам.
Исследователи также нашли пересечения HeartlessSoul с APT-группой GOFFEE. У групп совпадают элементы инфраструктуры, домены, серверы и приманки, включая авиационное ПО. Обе нацелены на российский госсектор и используют PowerShell-нагрузки. Это может указывать на координацию кампаний или общий доступ к инфраструктуре, но публичных данных для утверждения о единой группе недостаточно.
Практический риск здесь в типе данных. ГИС-файлы часто хранятся у инженеров, проектировщиков, подрядчиков, геодезистов, ИТ-специалистов и сотрудников профильных подразделений. Такие данные могут лежать не в защищённом хранилище, а на рабочем столе, в архиве, в папке проекта, в переписке или на ноутбуке сотрудника. Для атакующего это подарок: можно не взламывать промышленную систему напрямую, а собрать карту её окружения.
Организациям нужно отдельно контролировать вложения LNK, XLL, MSI, запуск PowerShell из пользовательских каталогов, появление Node.js там, где его не должно быть, новые задачи планировщика, автозагрузку через VBS и подозрительные обращения к доменам C2. Для команд, работающих с картами и инженерными проектами, ГИС-файлы стоит считать чувствительными данными наравне с финансовыми документами и доступами.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
