Uma nova campanha de ciberespionagem identificada por pesquisadores da Kaspersky revelou que hackers estão mirando organizações governamentais e empresas da indústria de aviação na Rússia com o objetivo de roubar dados altamente sensíveis — especialmente informações geoespaciais utilizadas em sistemas de navegação, satélites e infraestrutura crítica.

O grupo, identificado como HeartlessSoul, está ativo desde pelo menos setembro de 2025 e conduz ataques direcionados com foco em dados de GIS (Geographic Information Systems). Esses arquivos contêm informações detalhadas sobre terrenos, redes de engenharia, infraestrutura e, potencialmente, instalações estratégicas — dados críticos para operações militares, planejamento logístico e inteligência.

A cadeia de ataque segue um padrão bem estruturado. O vetor inicial é predominantemente phishing, com envio de e-mails contendo arquivos compactados maliciosos. Ao abrir esses arquivos, a vítima executa inadvertidamente o malware, iniciando o comprometimento do sistema. Paralelamente, os invasores também utilizam campanhas de malvertising — anúncios falsos que simulam sites legítimos — para distribuir softwares adulterados relacionados à aviação.

Em uma etapa mais sofisticada, os hackers registram domínios falsos que imitam plataformas legítimas do setor aeronáutico. Esses sites hospedam instaladores maliciosos disfarçados de ferramentas confiáveis. Ao executar o download, o usuário inicia automaticamente o processo de infecção, permitindo que o malware estabeleça persistência no dispositivo comprometido.

Um dos pontos mais relevantes da campanha é o uso indevido de plataformas legítimas, como o SourceForge, para distribuição de malware. Os invasores publicaram versões falsas de softwares populares, como o GearUP, originalmente utilizado para otimizar conexões em jogos online. Usuários que buscavam a ferramenta acabavam instalando spyware sem perceber.

Uma vez dentro do ambiente da vítima, o malware executa uma série de atividades de coleta de dados. Entre as capacidades identificadas estão captura de screenshots, registro de teclas digitadas (keylogging), coleta de dados de navegação, exfiltração de arquivos locais e roubo de credenciais — incluindo acesso a contas do Telegram. O malware também consegue identificar a localização do dispositivo, o que pode ampliar o valor estratégico das informações coletadas.

A análise também revelou possíveis conexões com outro grupo hacker, conhecido como Goffee, que já havia conduzido ataques semelhantes, incluindo campanhas focadas na extração de dados a partir de dispositivos removíveis, como pen drives. Essa sobreposição sugere possível colaboração ou compartilhamento de infraestrutura entre grupos.

Embora o foco principal da campanha seja o setor de aviação, há indícios de que o alcance pode ser ainda maior. Segundo análises independentes, o malware também foi distribuído por meio de arquivos que simulavam simuladores de drones FPV e ferramentas para contornar restrições do serviço de internet via satélite Starlink. Esse detalhe amplia o escopo dos alvos, podendo incluir operadores de drones, especialistas em comunicação e até perfis com ligação militar.

Do ponto de vista estratégico, esse tipo de ataque reforça uma tendência crescente no cenário de ameaças: o foco em dados geoespaciais e inteligência operacional. Em conflitos modernos, informações de localização, mapeamento e infraestrutura são tão valiosas quanto dados financeiros ou credenciais — pois podem impactar diretamente operações militares e decisões táticas.

A campanha também evidencia a evolução das técnicas de distribuição de malware, com uso combinado de engenharia social, plataformas legítimas e spoofing de domínios — dificultando a detecção e aumentando a taxa de sucesso dos ataques.