Un simple icono aparentemente inocuo: un clic da a los hackers acceso a los sistemas aeronáuticos.
Especialistas detectaron una oleada de ataques contra empresas estatales y del sector aeronáutico.
El grupo HeartlessSoul busca silenciosamente datos que normalmente se encuentran más allá de los documentos habituales. No se trata solo de archivos de formatos de oficina, sino de información geoespacial: mapas, planos de infraestructura y modelos del terreno. Estos datos son especialmente valiosos para la industria y la aviación, y son el objetivo principal de los atacantes.
Los especialistas de Kaspersky Lab seguían la actividad de HeartlessSoul desde febrero de 2026 y descubrieron nuevos detalles de las intrusiones. El grupo opera al menos desde el otoño de 2025. Entre sus objetivos están organizaciones estatales y empresas relacionadas con la industria y los sistemas aeronáuticos, así como usuarios particulares.
La infección comienza de manera bastante habitual. Con mayor frecuencia la víctima recibe un correo con un archivo comprimido que contiene un acceso directo, un complemento para hojas de cálculo o un instalador. Al abrirlo se activa una cadena de comandos que descarga sigilosamente código malicioso. En algunos casos los atacantes aprovechan la vulnerabilidad ZDI-CAN-25373: permite ocultar el comando malicioso dentro del acceso directo, y el usuario solo ve la parte inofensiva de la ruta.
Existe otra vía. Los atacantes crean sitios falsos con «programas para aviación» o servicios populares y los promocionan mediante publicidad. El usuario descarga el instalador y ejecuta la infección por su cuenta. En una de las campañas el archivo malicioso se llegó a distribuir incluso a través de la plataforma SourceForge, donde lo camuflaron como una herramienta para mejorar la conexión en juegos.
Tras ejecutarse en el dispositivo se instala un entorno de ejecución de JavaScript y se carga el módulo principal – troyano de acceso remoto. Se instala en el sistema, se añade al inicio y crea tareas en el programador para no desaparecer tras un reinicio. A partir de ahí comienza la recolección de datos. El código malicioso toma capturas de pantalla, registra pulsaciones de teclas, copia el contenido del portapapeles y ejecuta comandos mediante PowerShell. Módulos independientes recopilan información sobre el sistema, los privilegios del usuario e incluso la ubicación del dispositivo.
Resulta especialmente interesante la lista de archivos que el troyano busca. Además de documentos y archivos comprimidos, descarga de forma dirigida formatos geoespaciales: archivos de mapas, rastros GPS, proyectos de sistemas cartográficos y modelos digitales de elevación. Estos datos permiten obtener una representación detallada de la infraestructura, desde carreteras hasta redes de ingeniería y objetivos estratégicos. Además, el código malicioso extrae datos de los navegadores, incluidas cookies y claves de cifrado, y también copia el contenido de la carpeta del mensajero Telegram. Todos los archivos recopilados se comprimen y se envían a los servidores de los atacantes.
La infraestructura de los ataques se solapa parcialmente con otro grupo – GOFFEE. Los dominios y servidores utilizados en las campañas a veces coinciden, y los cebos se parecen. Ambos grupos usan activamente PowerShell para descargar y ejecutar componentes maliciosos. HeartlessSoul continúa con los ataques en la actualidad. Las campañas muestran un claro interés por los datos industriales, especialmente los relacionados con la geografía y la infraestructura. Ese enfoque indica una recolección dirigida de información que puede tener valor estratégico.