Die Hackergruppe HeartlessSoul nutzt raffinierte Methoden, um in ihre Ziele einzudringen. Primär setzen die Angreifer auf Phishing-E-Mails mit infizierten Archiv-Dateien sowie betrügerische Werbekampagnen, die Website von Luftfahrtsoftware-Anbietern nachahmen. Besonders perfide: Die Hacker registrierten täuschend echte Domains und verteilten dort Malware als vermeintliche legitime Software-Installer. Ein besonders ausgefeilter Trick war die Veröffentlichung einer gefälschten Version von GearUP, einem Programm zur Optimierung von Online-Verbindungen, über die Plattform SourceForge. Nutzer, die nach diesem Tool suchten, luden unwissentlich Spyware herunter.
Einmal auf dem System installiert, entfaltet die Malware ihre destruktive Wirkung umfassend: Sie erfasst Screenshots, zeichnet Tastenanschläge auf, stiehlt Browser-Daten und extrahiert Login-Anmeldedaten aus dem Messenger-Dienst Telegram. Zusätzlich kann die Schadsoftware den geografischen Standort des infizierten Geräts bestimmen.
Kaspersky identifizierte zudem Verbindungen zwischen HeartlessSoul und der Hackergruppe Goffee, die bereits für Diebstähle sensibler Dateien von USB-Laufwerken bekannt ist. Dies deutet auf möglicherweise koordinierte oder verwandte Operationen hin.
Ein bemerkenswerter Aspekt: Der unabhängige russische Cybersecurity-Analyst Oleg Shakirov wies darauf hin, dass die beschriebene Malware auch in Dateien verbreitet wurde, die sich als FPV-Drohnen-Simulatoren oder Tools zur Umgehung von Starlink-Beschränkungen ausgaben. Dies könnte bedeuten, dass nicht nur Luftfahrtunternehmen, sondern auch Drohnenoperatoren, Kommunikationsspezialisten oder militärisches Personal angegriffen wurden.
Für deutsche Organisationen liegt die Lehre auf der Hand: Gründliche Mitarbeiterschulungen zu Phishing-Risiken, strenge Kontrollen bei Software-Downloads und regelmäßige Sicherheitsaudits sind essentiell. Das BSI empfiehlt zudem die Implementierung von Multi-Faktor-Authentifizierung und das konsequente Monitoring verdächtiger Netzwerkaktivitäten.