Sobald sich die Angreifer Zugang zu Datenbanken und Arbeitsplätzen für die GIS-Analyse verschafft haben, lädt HeartlessSoul laut dem auf Russisch verfassten Kaspersky-Bericht neben gängigen Dokumenttypen auch eher ungewöhnliche Daten herunter: GPS-Daten, Geoinformations-Shapefiles, digitale geografische Reliefdateien sowie einige proprietäre GIS-Kartendateien. Solche GIS-Dateien erlaubten Rückschlüsse auf Infrastruktur – Straßen, Versorgungsnetze, Gelände sowie strategische Objekte – und enthielten vertrauliche Daten aus dem ingenieurtechnischen, staatlichen und industriellen Bereich, heißt es in der Analyse.
Zur Kompromittierung der Systeme setzten die Angreifer mehrere verbreitete Techniken ein, darunter einen in JavaScript geschriebenen Remote-Access-Trojaner (RAT) und PowerShell-Skripte für Standardaufgaben. Einige der bösartigen LNK-Dateien nutzten einen Windows-Verknüpfungs-Exploit (ZDI-CAN-25373), der in APT-Kampagnen an Popularität gewonnen hat.
Kaspersky Lab beobachtet die Gruppe seit mindestens Februar über kompromittierte Command-and-Control-Infrastruktur und führt ihre frühesten Aktivitäten auf mindestens September 2025 zurück.
Während kein westlicher Sicherheitsanbieter eine zu HeartlessSoul passende Gruppe identifiziert hat, haben zwei weitere russische Sicherheitsfirmen – Positive Technologies und BI.ZONE – den Akteur dokumentiert; BI.ZONE nennt ihn Versatile Werewolf. Zwei weitere Gruppen, Paper Werewolf und Eagle Werewolf, zielen laut einer BI.ZONE-Analyse auf drohnenbezogene Foren und Chat-Kanäle wie Telegram sowie auf russische Bürger, die Beschränkungen für Starlink-Geräte umgehen wollen. Keines der drei Unternehmen hat die Angriffe öffentlich zugeordnet. Paper Werewolf, auch als GOFFEE bekannt, scheint Verbindungen zu pro-ukrainischen Gruppen zu haben, die zunächst russische Rüstungsunternehmen angriffen. BI.ZONE weist darauf hin, dass die drei Gruppen trotz ähnlicher Namen und Techniken offenbar eigenständig agieren.
Will Baxter, Produktverantwortlicher für Threat Intelligence bei Team Cymru, ordnet die Kampagnen als hochentwickelt und mit den Interessen von Nationalstaaten übereinstimmend ein. Das Anvisieren von GIS-, Drohnen- und Luftfahrtdaten deute auf eine nachrichtendienstlich oder verteidigungspolitisch motivierte Ausrichtung hin – mit nachgelagertem Nutzen bei der Störung von Logistik, der Kartierung von Infrastruktur, der Verfolgung von Anlagenbewegungen und der Einsatzplanung. Der am meisten unterschätzte Wert beim Diebstahl von GIS-Daten sei die operative Bodenwahrheit: Der Angreifer sehe genau, was die Analysten des Opfers über Gelände, Infrastruktur und Routen annehmen, und könne so Lücken in deren eigenem Lagebild modellieren.
Baxter empfiehlt, kritische Systeme – etwa Flugplanungssoftware – mit Zero-Trust-Maßnahmen wie identitätsgebundenem Zugriff und Egress-Überwachung abzusichern und Ingenieurnetze von allgemeinen Geschäftsnetzen zu trennen. Es handle sich um eine asymmetrische Investition in die wenigen Arbeitsplätze, die mit den wertvollsten Daten in Berührung kommen; eine lehrbuchmäßige Zero-Trust-Architektur auf jedem Drohnenbetreiber- oder Feldarbeitsplatz sei nicht realistisch.