Spionagegruppe HeartlessSoul greift russische Luftfahrtbranche ab

Zusammenfassung

Eine Cyberspionage-Gruppe namens HeartlessSoul nimmt russische Regierungsbehörden und Unternehmen der Luftfahrtbranche ins Visier, um sensible Geodaten zu erbeuten. Das geht aus einem in dieser Woche veröffentlichten Bericht des russischen Sicherheitsunternehmens Kaspersky hervor. Demnach ist die Gruppe seit mindestens September 2025 aktiv und führt Angriffe durch, die auf russische Organisationen ebenso wie auf einzelne Nutzer zielen. Besonderes Interesse zeigen die Angreifer den Forschern zufolge an Daten aus geografischen Informationssystemen (GIS). Diese spezialisierten Dateiformate können detaillierte Informationen über Infrastruktur wie Straßen, Versorgungsnetze, Gelände und mögliche strategische Anlagen offenlegen. Solche Dateien kommen häufig bei Ingenieur-, Behörden- und Industrieorganisationen zum Einsatz und enthalten oft genaue Kartendaten. Der Zugang gelingt den Tätern vor allem über Phishing-Mails mit infizierten Archivdateien sowie über manipulierte Werbekampagnen, die Webseiten für Luftfahrtsoftware nachahmen. Kaspersky verweist zudem auf Verbindungen zu einer weiteren Gruppe namens Goffee, die bereits zuvor russische Systeme angegriffen hat.

Nach der Analyse von Kaspersky verfolgt HeartlessSoul ein klar umrissenes Ziel: „Die Untersuchung der Aktivitäten der Gruppe zeigt ein gezieltes Interesse der Angreifer an Unternehmen der russischen Industrie mit dem Ziel, vertrauliche Daten zu erlangen, insbesondere Geoinformationen“, erklärten die Forscher.

Für die Erstinfektion setzen die Angreifer mehrere Wege parallel ein. Neben Phishing-Mails mit infizierten Archiven betreiben sie Schadwerbekampagnen, die Seiten für Software aus Luftfahrtsystemen imitieren und Opfer zum Download manipulierter Installationsprogramme verleiten. In einigen Fällen richteten die Täter Domains ein, die luftfahrtbezogene Angebote nachahmten, und verteilten darüber Schadsoftware, die als legitime Programme getarnt war. Nach dem Download startet der Infektionsprozess automatisch.

Auch die legitime Software-Plattform SourceForge nutzte die Gruppe zur Verbreitung. Dort luden die Angreifer eine gefälschte Version von GearUP hoch, einem Dienst zur Verbesserung der Verbindungsqualität in Online-Spielen. Wer nach dem Werkzeug suchte, lud stattdessen ein schädliches Archiv herunter, das Spyware installierte.

Ist die Schadsoftware erst auf einem Gerät, kann sie umfangreiche Daten sammeln: Bildschirmfotos, Tastatureingaben, Browserdaten und auf dem System gespeicherte Dateien. Zudem kann sie Zugangsdaten aus dem Messengerdienst Telegram auslesen und den Standort des Geräts bestimmen.

Im Zuge der Untersuchung stießen die Kaspersky-Forscher auf Verbindungen zwischen HeartlessSoul und der Gruppe Goffee, die zuvor russische Systeme angegriffen hatte und dafür bekannt war, sensible Dateien von an infizierten Rechnern angeschlossenen USB-Sticks zu stehlen. Die Überschneidungen könnten laut Kaspersky auf koordinierte oder verwandte Operationen hindeuten.

Während Kaspersky die Luftfahrtbranche als Hauptziel der jüngsten Kampagne nennt, weist der unabhängige russische Sicherheitsanalyst Oleg Schakirow auf einen weiteren Verbreitungsweg hin. Die beschriebene Schadsoftware sei demnach auch über Dateien verteilt worden, die als FPV-Drohnensimulatoren sowie als Werkzeuge zur Umgehung von Beschränkungen des Satelliteninternetdienstes Starlink getarnt waren.

Sollte sich das bestätigen, könnten die Angriffe nicht nur auf Luftfahrtunternehmen, sondern auch auf Drohnenpiloten, Kommunikationsspezialisten oder anderes militärisches Personal gerichtet sein, schrieb Schakirow auf seinem Telegram-Kanal.

Spionagegruppe HeartlessSoul greift russische Luftfahrtbranche ab

Ähnliche Artikel

Neueste Artikel