Nach Erkenntnissen der Cybersicherheitsfirma Kaspersky Lab nutzt die Gruppe HeartlessSoul ausgefeilte Phishing- und Malvertising-Kampagnen, um ihre Ziele zu kompromittieren. Besonders tückisch: Die Angreifer erstellen gefälschte Domains und Websites, die als Installer für legitime Luftfahrtsoftware getarnt sind. In einem Fall platzierten sie sogar ein manipuliertes Projekt auf SourceForge, der bekannten Download-Plattform, um Malware-Archive zu verbreiten.
Hauptangriffsziele sind bislang vorrangig russische Regierungsbehörden und Unternehmen. Doch die Techniken deuten darauf hin, dass HeartlessSoul ein hochgradig organisierter Akteur ist – nicht einfach eine Gruppe von Hackaktivisten oder Cyberkriminellen. Die Malware nutzt mehrstufige Infektionsmechanismen, fileless Execution und JavaScript-RATs (Remote Access Trojans) sowie PowerShell-Skripte. Besonders bemerkenswert ist die Nutzung einer Windows-Shortcut-Schwachstelle (ZDI-CAN-25373), die zunehmend in APT-Kampagnen auftaucht.
Nach erfolgreicher Kompromittierung laden die Angreifer eine breite Palette von Dateitypen herunter – darunter GPS-Daten, GIS-Shape-Files, digitale Höhenmodelle und proprietäre Kartierungsdateien. Diese Daten ermöglichen es dem Gegner, detaillierte Informationen über Infrastruktur, Straßennetze, Versorgungsleitungen, strategische Objekte und Geländestrukturen zu sammeln.
Die strategische Bedeutung ist immens: Durch Geospatial-Intelligence (GEOINT) können Militärs und Geheimdienste nicht nur feindliche Positionen lokalisieren, sondern auch die Lücken im Lagebewusstsein des Gegners identifizieren. Will Baxter, Head of Product bei Team Cymru, betont: GIS-Diebstahl offenbarte die “operative Grundwahrheit” – Angreifer sehen exakt, welche Annahmen die gegnerischen Analysten über Terrain und Infrastruktur haben.
Kaspersky Lab verfolgt die Gruppe seit mindestens Februar; die frühesten Aktivitäten reichen bis September 2025 zurück. Andere russische Cybersecurity-Unternehmen wie Positive Technologies und BI.ZONE haben dieselbe Gruppe unter dem Namen “Versatile Werewolf” dokumentiert. Zwei verwandte Gruppen – “Paper Werewolf” (auch GOFFEE) und “Eagle Werewolf” – zielen zusätzlich auf Drohnen-Foren und Pro-Ukraine-Netzwerke ab.
Für Verteidiger empfehlen Experten eine asymmetrische Verteidigungsstrategie: Kritische Systeme wie Flugplanungssoftware sollten mit Zero-Trust-Sicherheitsmaßnahmen, identity-bound access und Egress-Monitoring geschützt werden. Engineering-Netzwerke müssen strikt von Business-Netzwerken segmentiert sein. Eine flächendeckende Zero-Trust-Implementierung ist unrealistisch – stattdessen sollten Unternehmen ihre “Crown Jewels” konzentriert schützen.