HeartlessSoul: Grupo de Hackers Foca em Dados Geoespaciais do Setor Público e Industrial Russo
A conhecida facção de hackers HeartlessSoul alterou seu foco de ataque, agora visando dados geoespaciais de organizações russas, especialmente no setor público e industrial. Utilizando técnicas de phishing e um RAT baseado em JavaScript, o grupo busca informações críticas para mapear infraestruturas.
MundiX News·11 de maio de 2026·6 min de leitura·👁 4 views
A renomada facção de hackers HeartlessSoul mudou seu foco de ataque, concentrando-se agora na coleta de dados geoespaciais de organizações russas. Segundo analistas da Kaspersky Lab, os criminosos estão ativamente buscando informações de organizações governamentais e industriais, empregando um RAT (Remote Access Trojan) baseado em JavaScript e táticas de phishing. O grupo tem demonstrado atividade consistente desde o outono de 2025, com um direcionamento claro para alvos na Rússia, incluindo o setor público, empresas de manufatura, sistemas de aviação e usuários privados.
O principal vetor de entrada para a infraestrutura das vítimas são e-mails de phishing contendo arquivos compactados. Dentro desses arquivos, encontram-se arquivos LNK, XLL ou MSI que iniciam uma cadeia de infecção. Em alguns casos, esses atalhos são usados para mascarar comandos maliciosos explorando a vulnerabilidade ZDI-CAN-25373. Essa falha permite que comandos maliciosos sejam ocultados em um caminho de atalho legítimo, adicionando espaços ou quebras de linha após o caminho válido. Como resultado, o explorador de arquivos exibe apenas a primeira parte do caminho, impedindo que o usuário perceba a presença do comando malicioso.
Além do phishing tradicional, o HeartlessSoul também utiliza ativamente publicidade maliciosa (malvertising). Os atacantes criam sites falsos que se disfarçam como portais de software para aviação. As vítimas são induzidas a baixar o que acreditam ser "ferramentas de trabalho", mas que na verdade são instaladores infectados. Outro canal de distribuição de malware identificado é através de plataformas legítimas. Um exemplo notável é a publicação de um malware na plataforma SourceForge, disfarçado como GearUP, um serviço destinado a melhorar a conectividade em jogos online.
Após a infecção inicial, uma cadeia de scripts PowerShell é executada na máquina da vítima, resultando no download de um loader JavaScript. Este loader, por sua vez, implanta o RAT principal e módulos adicionais no sistema. O trojan desenvolvido pelo grupo possui funcionalidades típicas de um spyware, incluindo um keylogger, capacidade de capturar screenshots, execução remota de comandos e coleta de informações do sistema. A persistência é garantida através de mecanismos de autoexecução e tarefas agendadas no sistema.
Um aspecto notável da operação do malware é seu mecanismo de comunicação com os servidores de comando e controle (C2). O loader é capaz de obter os endereços dos servidores C2 através do Solana Name Service, o que dificulta o bloqueio da infraestrutura maliciosa. A característica distintiva desta campanha, segundo os pesquisadores, é o interesse específico dos atacantes em arquivos GIS (Geographic Information System). O malware não se limita a coletar documentos, arquivos compactados ou imagens; ele busca ativamente por formatos de dados geoespaciais como KML, SHP, GeoJSON, projetos QGIS e outros. Esses arquivos são cruciais para reconstruir o panorama de infraestruturas, desde redes de transporte e relevo até sistemas de engenharia e instalações estratégicas.
Adicionalmente, o malware extrai dados de navegadores populares como Chrome, Edge, Yandex Browser e Opera, além do Telegram, incluindo cookies e outros artefatos do usuário. A análise da infraestrutura dos atacantes revelou que o HeartlessSoul não opera isoladamente. Os pesquisadores identificaram sobreposições com a facção APT GOFFEE, compartilhando domínios, servidores e iscas semelhantes, incluindo o software de aviação. Ambas as facções têm como alvo o setor público e utilizam cargas úteis em PowerShell. Essa convergência sugere uma possível coordenação de ataques ou, no mínimo, um compartilhamento de infraestrutura entre os grupos.
Considerando as conexões com GOFFEE e a atividade contínua do HeartlessSoul, os especialistas preveem que novas campanhas maliciosas por parte deste grupo são prováveis no futuro, com um foco persistente em dados sensíveis e infraestruturas críticas.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A renomada facção de hackers HeartlessSoul mudou seu foco de ataque, concentrando-se agora na coleta de dados geoespaciais de organizações russas. Segundo analistas da Kaspersky Lab, os criminosos estão ativamente buscando informações de organizações governamentais e industriais, empregando um RAT (Remote Access Trojan) baseado em JavaScript e táticas de phishing. O grupo tem demonstrado atividade consistente desde o outono de 2025, com um direcionamento claro para alvos na Rússia, incluindo o setor público, empresas de manufatura, sistemas de aviação e usuários privados.
O principal vetor de entrada para a infraestrutura das vítimas são e-mails de phishing contendo arquivos compactados. Dentro desses arquivos, encontram-se arquivos LNK, XLL ou MSI que iniciam uma cadeia de infecção. Em alguns casos, esses atalhos são usados para mascarar comandos maliciosos explorando a vulnerabilidade ZDI-CAN-25373. Essa falha permite que comandos maliciosos sejam ocultados em um caminho de atalho legítimo, adicionando espaços ou quebras de linha após o caminho válido. Como resultado, o explorador de arquivos exibe apenas a primeira parte do caminho, impedindo que o usuário perceba a presença do comando malicioso.
Além do phishing tradicional, o HeartlessSoul também utiliza ativamente publicidade maliciosa (malvertising). Os atacantes criam sites falsos que se disfarçam como portais de software para aviação. As vítimas são induzidas a baixar o que acreditam ser "ferramentas de trabalho", mas que na verdade são instaladores infectados. Outro canal de distribuição de malware identificado é através de plataformas legítimas. Um exemplo notável é a publicação de um malware na plataforma SourceForge, disfarçado como GearUP, um serviço destinado a melhorar a conectividade em jogos online.
Após a infecção inicial, uma cadeia de scripts PowerShell é executada na máquina da vítima, resultando no download de um loader JavaScript. Este loader, por sua vez, implanta o RAT principal e módulos adicionais no sistema. O trojan desenvolvido pelo grupo possui funcionalidades típicas de um spyware, incluindo um keylogger, capacidade de capturar screenshots, execução remota de comandos e coleta de informações do sistema. A persistência é garantida através de mecanismos de autoexecução e tarefas agendadas no sistema.
Um aspecto notável da operação do malware é seu mecanismo de comunicação com os servidores de comando e controle (C2). O loader é capaz de obter os endereços dos servidores C2 através do Solana Name Service, o que dificulta o bloqueio da infraestrutura maliciosa. A característica distintiva desta campanha, segundo os pesquisadores, é o interesse específico dos atacantes em arquivos GIS (Geographic Information System). O malware não se limita a coletar documentos, arquivos compactados ou imagens; ele busca ativamente por formatos de dados geoespaciais como KML, SHP, GeoJSON, projetos QGIS e outros. Esses arquivos são cruciais para reconstruir o panorama de infraestruturas, desde redes de transporte e relevo até sistemas de engenharia e instalações estratégicas.
Adicionalmente, o malware extrai dados de navegadores populares como Chrome, Edge, Yandex Browser e Opera, além do Telegram, incluindo cookies e outros artefatos do usuário. A análise da infraestrutura dos atacantes revelou que o HeartlessSoul não opera isoladamente. Os pesquisadores identificaram sobreposições com a facção APT GOFFEE, compartilhando domínios, servidores e iscas semelhantes, incluindo o software de aviação. Ambas as facções têm como alvo o setor público e utilizam cargas úteis em PowerShell. Essa convergência sugere uma possível coordenação de ataques ou, no mínimo, um compartilhamento de infraestrutura entre os grupos.
Considerando as conexões com GOFFEE e a atividade contínua do HeartlessSoul, os especialistas preveem que novas campanhas maliciosas por parte deste grupo são prováveis no futuro, com um foco persistente em dados sensíveis e infraestruturas críticas.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
