Pesquisadores da Kaspersky identificaram uma nova campanha de ciberespionagem direcionada contra organizações governamentais e empresas da indústria de aviação na Rússia. O principal objetivo dos ataques é roubar dados geoespaciais sensíveis relacionados a sistemas de navegação, satélites e infraestrutura estratégica.
A operação foi atribuída a um grupo hacker identificado como HeartlessSoul, ativo desde pelo menos setembro de 2025. Segundo os pesquisadores, os invasores estão focados especialmente em arquivos GIS (Geographic Information Systems), utilizados para armazenar informações detalhadas sobre terrenos, redes de engenharia, rotas logísticas, estruturas críticas e instalações estratégicas.
Esse tipo de dado possui alto valor operacional e pode ser utilizado em contextos de inteligência militar, planejamento tático, monitoramento de infraestrutura e análise de movimentação em áreas sensíveis.
A cadeia de ataque observada segue um modelo altamente estruturado. O vetor inicial mais comum é phishing por e-mail, utilizando arquivos compactados maliciosos enviados às vítimas. Quando os anexos são executados, o malware é instalado silenciosamente no sistema comprometido.
Além das campanhas de phishing, os hackers também recorreram a técnicas de malvertising, criando anúncios falsos que simulam plataformas legítimas do setor aeronáutico. Em etapas mais avançadas da campanha, os operadores registraram domínios fraudulentos que imitavam serviços reais ligados à aviação e hospedavam instaladores maliciosos disfarçados de softwares confiáveis.
Um dos pontos que chamou atenção dos pesquisadores foi o uso indevido da plataforma SourceForge para distribuição de malware. Os criminosos publicaram versões adulteradas de aplicativos populares, incluindo o GearUP, originalmente usado para melhorar conexões em jogos online.
Usuários que buscavam a ferramenta acabavam instalando spyware sem perceber, permitindo aos invasores coletar informações diretamente dos dispositivos infectados.
Segundo a análise técnica, o malware possui diversas capacidades de espionagem. Entre elas estão captura de screenshots, registro de teclas digitadas (keylogging), coleta de dados de navegação, roubo de arquivos locais, exfiltração de credenciais e acesso a contas do Telegram.
Os pesquisadores também identificaram recursos de geolocalização capazes de determinar a posição do dispositivo comprometido, aumentando o valor estratégico das informações coletadas.
A investigação aponta ainda possíveis conexões entre o HeartlessSoul e outro grupo hacker conhecido como Goffee, anteriormente associado a campanhas de espionagem envolvendo roubo de dados por dispositivos removíveis, como pen drives. A sobreposição de técnicas e infraestrutura sugere possível colaboração ou compartilhamento de recursos entre os grupos.
Embora a campanha tenha foco principal no setor de aviação, os pesquisadores encontraram indícios de que o alcance dos ataques pode ser mais amplo. Algumas amostras de malware estavam associadas a arquivos que simulavam simuladores de drones FPV e ferramentas voltadas a contornar restrições do serviço de internet via satélite Starlink.
Esse detalhe sugere que operadores de drones, especialistas em comunicação e até perfis ligados a operações militares também podem estar entre os potenciais alvos da campanha.
Especialistas destacam que a operação reforça uma tendência crescente no cenário de ameaças avançadas: o foco em dados geoespaciais e inteligência operacional. Em conflitos modernos, informações de localização, mapas, rotas logísticas e infraestrutura estratégica podem ter impacto direto em operações militares e decisões táticas.
A campanha também demonstra a evolução das técnicas de distribuição de malware, combinando engenharia social, plataformas legítimas, spoofing de domínios e softwares adulterados para aumentar a credibilidade das infecções e dificultar a detecção pelas vítimas e pelas soluções de segurança.
Para organizações dos setores de aviação, defesa e infraestrutura crítica, os pesquisadores recomendam reforçar a verificação de softwares baixados, restringir execução de aplicativos não autorizados, monitorar tentativas de phishing e adotar controles adicionais para impedir exfiltração de dados sensíveis e acesso indevido a sistemas estratégicos.
