Pesquisadores da Kaspersky identificaram uma nova campanha de ciberespionagem voltada contra organizações governamentais e empresas da indústria de aviação na Rússia. O grupo hacker, chamado HeartlessSoul, estaria focado no roubo de dados altamente sensíveis relacionados a sistemas de navegação, satélites e infraestrutura crítica.
Segundo a análise, os ataques estão ativos desde pelo menos setembro de 2025 e têm como principal objetivo a obtenção de arquivos GIS (Geographic Information Systems), que armazenam informações geoespaciais detalhadas sobre terrenos, redes de engenharia, infraestrutura urbana e instalações estratégicas. Esses dados possuem alto valor para inteligência militar, logística e operações de defesa.
A campanha utiliza técnicas avançadas de engenharia social para comprometer as vítimas. O vetor inicial mais comum envolve ataques de phishing com envio de e-mails contendo arquivos compactados maliciosos. Ao abrir os documentos, o usuário executa inadvertidamente o malware, iniciando o processo de infecção do sistema.
Além do phishing tradicional, os invasores também recorreram ao malvertising, estratégia que utiliza anúncios falsos para redirecionar usuários a páginas fraudulentas. Os hackers registraram domínios falsos que imitavam plataformas legítimas do setor aeronáutico, oferecendo instaladores adulterados de softwares utilizados na indústria da aviação.
Outro ponto que chamou atenção dos pesquisadores foi o uso indevido da plataforma SourceForge para distribuição de malware. Os criminosos publicaram versões falsas de programas conhecidos, como o software GearUP, utilizado originalmente para otimizar conexões em jogos online. Usuários que realizavam o download acabavam instalando spyware sem perceber.
Depois de comprometer o sistema da vítima, o malware passa a executar múltiplas funções de espionagem. Entre as capacidades identificadas estão captura de screenshots, registro de teclas digitadas (keylogging), roubo de credenciais, coleta de dados de navegação e exfiltração de arquivos locais. O spyware também consegue obter acesso a contas do Telegram e identificar a localização geográfica do dispositivo infectado.
A investigação aponta ainda possíveis conexões entre o grupo HeartlessSoul e outro grupo hacker conhecido como Goffee, associado anteriormente a campanhas de coleta de dados por meio de dispositivos removíveis, como pen drives. A semelhança de técnicas sugere compartilhamento de infraestrutura ou colaboração operacional entre os grupos.
Embora os ataques estejam concentrados no setor de aviação, especialistas acreditam que o alcance da campanha pode ser mais amplo. O malware também foi encontrado em arquivos disfarçados de simuladores de drones FPV e ferramentas para contornar restrições do serviço de internet via satélite Starlink, ampliando o potencial de alvos para operadores de drones, especialistas em telecomunicações e perfis ligados a operações militares.
Do ponto de vista estratégico, o caso reforça uma tendência crescente no cenário global de ameaças digitais: o foco em dados geoespaciais e inteligência operacional. Em conflitos modernos, informações de localização, infraestrutura e mapeamento possuem valor estratégico semelhante ao de credenciais financeiras ou segredos corporativos.
A campanha também demonstra a evolução das técnicas modernas de distribuição de malware, combinando spoofing de domínios, uso de plataformas legítimas e engenharia social avançada para aumentar a eficácia dos ataques e dificultar a detecção pelas vítimas.
