ГИС-файлы — новая нефть: Касперский выяснил, кому и зачем нужны чужие карты дорог и схемы трубопроводов
NewsMakerШпионы HeartlessSoul тайно картографируют критическую инфраструктуру России изнутри.
Кибергруппа HeartlessSoul охотится не только за документами и учётными данными. Вредоносный JavaScript-троянец, который изучили специалисты Касперский, ищет у жертв геоинформационные файлы: карты, GPS-данные, проекты QGIS и ArcGIS, модели рельефа и другие материалы, способные раскрыть сведения о дорогах, инженерных сетях, промышленных объектах и критической инфраструктуре.
Эксперты компании наблюдают за HeartlessSoul с февраля 2026 года. По данным Kaspersky Threat Intelligence Portal, группа сосредоточена преимущественно на России, активна как минимум с сентября 2025 года и атакует государственные структуры, промышленные компании, организации из сферы авиационных систем и отдельных пользователей. В апреле исследователи нашли актуальные C2-серверы группировки, изучили новые функции RAT-троянца на JavaScript и получили дополнительные модули, которые вредоносная программа загружает после заражения.
Основной путь проникновения начинается с фишинговых писем. Жертве присылают архив с LNK-, XLL- или MSI-файлом, после открытия которого запускается загрузка JavaScript-скрипта. Часть LNK-файлов использовала уязвимость ZDI-CAN-25373: вредоносную команду прятали за видимым легитимным путём ярлыка, а Проводник Windows показывал пользователю только безопасную часть строки.
HeartlessSoul также распространяет заражённые установщики через поддельные сайты и легитимные платформы. Для целевых атак злоумышленники создавали ресурсы авиационной тематики и выдавали вредоносные файлы за программы для авиационных систем. Ещё один поддельный установщик разместили на SourceForge под видом GearUP, сервиса для улучшения соединения в онлайн-играх. После запуска установщики ставили Node.js, загружали файл index.js и запускали JavaScript-загрузчик.
Загрузчик закрепляется в системе через папку автозапуска и планировщик задач, после чего получает с командного сервера основную нагрузку. Вредоносный скрипт умеет использовать Solana Name Service для получения резервного адреса C2-сервера, если в системе задана специальная переменная среды. Для идентификации жертвы троянец формирует MD5-хэш из серийного номера диска C, имени пользователя и имени компьютера.
Основная нагрузка представляет собой обфусцированный JavaScript RAT. Большинство команд троянец выполняет через PowerShell: делает скриншоты, читает буфер обмена, запускает кейлоггер, собирает сведения о системе, проверяет права пользователя, определяет местоположение устройства, выполняет команды оператора, загружает файлы и запускает дополнительные модули. В наборе функций также есть обход UAC, перезапуск троянца, удаление вредоносных компонентов и дамп данных Outlook.
Отдельный модуль отвечает за кражу файлов. Скрипт ищет офисные документы, архивы, PDF, текстовые файлы, конфигурации и большой набор геоинформационных форматов, включая KML, KMZ, GPX, SHP, DBF, GeoJSON, MXD, QGS, QGZ, DEM, TIFF и IMG. Для промышленных и государственных организаций такая выборка особенно опасна, потому что картографические проекты могут содержать сведения о местности, транспортных маршрутах, инженерной инфраструктуре и стратегических объектах.
Троянец также собирает данные из браузеров Google Chrome, Microsoft Edge, Яндекс Браузер и Opera. В зону интереса попадают cookie-файлы, Local State и хранилища leveldb. Для получения мастер-ключа браузера вредоносная программа использует отдельный .NET-инструмент с внутренним именем GetCookiesKey.exe. Кроме браузерных данных, RAT копирует папку Telegram Desktop с пользовательскими данными, архивирует содержимое и отправляет собранные файлы на сервер атакующих.
Инфраструктура HeartlessSoul пересекается с APT-группой GOFFEE. Домен battleflight[.]pro указывал на IP-адрес, где также размещались поддельные домены, связанные с GOFFEE, а приманки обеих групп были похожи и маскировались под авиационное программное обеспечение. Технические пересечения могут указывать на совместные или скоординированные кампании против российских организаций.
Компания отмечает, что HeartlessSoul продолжает вредоносную активность. Защитные решения выявляют элементы кампании по запуску подозрительных LNK-файлов, скрытым и обфусцированным PowerShell-командам, созданию файлов с нетипичными расширениями в автозагрузке и сетевому взаимодействию загрузчика с C2-серверами. Для корпоративных сетей ключевыми признаками риска остаются запуск скриптовых интерпретаторов из архивов и пользовательских каталогов, появление подозрительных задач в планировщике и нетипичные обращения к внешним доменам.
Кибергруппа HeartlessSoul охотится не только за документами и учётными данными. Вредоносный JavaScript-троянец, который изучили специалисты Касперский, ищет у жертв геоинформационные файлы: карты, GPS-данные, проекты QGIS и ArcGIS, модели рельефа и другие материалы, способные раскрыть сведения о дорогах, инженерных сетях, промышленных объектах и критической инфраструктуре.
Эксперты компании наблюдают за HeartlessSoul с февраля 2026 года. По данным Kaspersky Threat Intelligence Portal, группа сосредоточена преимущественно на России, активна как минимум с сентября 2025 года и атакует государственные структуры, промышленные компании, организации из сферы авиационных систем и отдельных пользователей. В апреле исследователи нашли актуальные C2-серверы группировки, изучили новые функции RAT-троянца на JavaScript и получили дополнительные модули, которые вредоносная программа загружает после заражения.
Основной путь проникновения начинается с фишинговых писем. Жертве присылают архив с LNK-, XLL- или MSI-файлом, после открытия которого запускается загрузка JavaScript-скрипта. Часть LNK-файлов использовала уязвимость ZDI-CAN-25373: вредоносную команду прятали за видимым легитимным путём ярлыка, а Проводник Windows показывал пользователю только безопасную часть строки.
HeartlessSoul также распространяет заражённые установщики через поддельные сайты и легитимные платформы. Для целевых атак злоумышленники создавали ресурсы авиационной тематики и выдавали вредоносные файлы за программы для авиационных систем. Ещё один поддельный установщик разместили на SourceForge под видом GearUP, сервиса для улучшения соединения в онлайн-играх. После запуска установщики ставили Node.js, загружали файл index.js и запускали JavaScript-загрузчик.
Загрузчик закрепляется в системе через папку автозапуска и планировщик задач, после чего получает с командного сервера основную нагрузку. Вредоносный скрипт умеет использовать Solana Name Service для получения резервного адреса C2-сервера, если в системе задана специальная переменная среды. Для идентификации жертвы троянец формирует MD5-хэш из серийного номера диска C, имени пользователя и имени компьютера.
Основная нагрузка представляет собой обфусцированный JavaScript RAT. Большинство команд троянец выполняет через PowerShell: делает скриншоты, читает буфер обмена, запускает кейлоггер, собирает сведения о системе, проверяет права пользователя, определяет местоположение устройства, выполняет команды оператора, загружает файлы и запускает дополнительные модули. В наборе функций также есть обход UAC, перезапуск троянца, удаление вредоносных компонентов и дамп данных Outlook.
Отдельный модуль отвечает за кражу файлов. Скрипт ищет офисные документы, архивы, PDF, текстовые файлы, конфигурации и большой набор геоинформационных форматов, включая KML, KMZ, GPX, SHP, DBF, GeoJSON, MXD, QGS, QGZ, DEM, TIFF и IMG. Для промышленных и государственных организаций такая выборка особенно опасна, потому что картографические проекты могут содержать сведения о местности, транспортных маршрутах, инженерной инфраструктуре и стратегических объектах.
Троянец также собирает данные из браузеров Google Chrome, Microsoft Edge, Яндекс Браузер и Opera. В зону интереса попадают cookie-файлы, Local State и хранилища leveldb. Для получения мастер-ключа браузера вредоносная программа использует отдельный .NET-инструмент с внутренним именем GetCookiesKey.exe. Кроме браузерных данных, RAT копирует папку Telegram Desktop с пользовательскими данными, архивирует содержимое и отправляет собранные файлы на сервер атакующих.
Инфраструктура HeartlessSoul пересекается с APT-группой GOFFEE. Домен battleflight[.]pro указывал на IP-адрес, где также размещались поддельные домены, связанные с GOFFEE, а приманки обеих групп были похожи и маскировались под авиационное программное обеспечение. Технические пересечения могут указывать на совместные или скоординированные кампании против российских организаций.
Компания отмечает, что HeartlessSoul продолжает вредоносную активность. Защитные решения выявляют элементы кампании по запуску подозрительных LNK-файлов, скрытым и обфусцированным PowerShell-командам, созданию файлов с нетипичными расширениями в автозагрузке и сетевому взаимодействию загрузчика с C2-серверами. Для корпоративных сетей ключевыми признаками риска остаются запуск скриптовых интерпретаторов из архивов и пользовательских каталогов, появление подозрительных задач в планировщике и нетипичные обращения к внешним доменам.