Хакерская группа HeartlessSoul атакует российские промышленные предприятия с помощью JavaScript-троянца

Группа HeartlessSoul активна как минимум с сентября 2025 года. Основной вектор заражения - фишинговые письма, содержащие архив с LNK-, XLL- или MSI-файлами. При открытии вложения на устройство жертвы загружается загрузчик JavaScript, который затем доставляет основной вредоносный модуль - RAT-троянец (удалённый доступ к системе) и дополнительные модули. В дополнение к фишингу атакующие размещают вредоносную рекламу, имитирующую сайты с программным обеспечением для авиационных систем. Например, на поддельном домене battleflight[.]pro был найден установщик BattleFlight-Installer.exe, который после запуска скачивал загрузчик index.js и продолжал цепочку заражения.

Особую тревогу вызывает использование злоумышленниками платформы SourceForge. Они создали поддельный проект, маскирующийся под легитимный сервис GearUP для улучшения соединения в онлайн-играх. Вредоносный архив GearUP-2.54.1-win.zip содержал MSI-установщик, который запускал скрипт install.ps1, устанавливающий Node.js и загружающий JS-загрузчик index.js. Таким образом, даже пользователи, доверяющие открытым репозиториям, могли стать жертвами атаки.

Аналитики компании "Лаборатория Касперского" обнаружили в ходе исследования несколько ранее не описанных функций JavaScript-троянца. Среди них - кейлоггер, инструмент для захвата экрана и функция получения текущего содержимого буфера обмена. RAT умеет собирать подробную информацию о системе жертвы: версию ОС, параметры процессора и памяти, имя домена, настройки UAC, а также определять местоположение устройства. Для закрепления в системе загрузчик добавляет себя в автозагрузку через VBS-скрипт и запланированную задачу с именем ZeroDriveBackupTaskSystem141.1.7272.0. Троянец также способен выполнять произвольные PowerShell-команды, загружать и запускать сторонние бинарные файлы, а при необходимости - полностью удалять все свои компоненты, заметая следы.

Однако главная цель атакующих - сбор конфиденциальных данных, особенно геоинформационных форматов (GIS). Встроенная команда FileUploadingCommand нацелена не только на офисные документы, архивы и изображения, но и на файлы с расширениями .kml, .kmz, .gpx, .shp, .dbf, .geojson, .mxd, .qgs, .qgz, .dem, .tif. Такие данные содержат сведения об инфраструктуре, дорогах, инженерных сетях и рельефе местности, что представляет большую ценность для организаций промышленного и государственного секторов. Кроме того, RAT способен красть cookie-файлы и мастер-ключи из браузеров Google Chrome, Microsoft Edge, Яндекс Браузер и Opera, а также выкачивать данные из мессенджера Telegram, копируя содержимое папки tdata.

Инфраструктура HeartlessSoul состоит из C2-серверов (командных центров), зарегистрированных через регистратора Tucows Domains Inc., и виртуальных частных серверов в разных странах. Примечательно, что домен battleflight[.]pro разрешается в IP-адрес 104.194.158[.]63, на котором ранее были размещены поддельные ресурсы, связанные с APT-группой GOFFEE. Обе группы используют PowerShell для доставки и выполнения вредоносных модулей, а также применяют схожие приманки, связанные с авиационным программным обеспечением. Это пересечение говорит о возможном сотрудничестве или координации кампаний.

Атаки HeartlessSoul продолжаются и на момент написания материала. Предприятиям российской промышленности и госструктурам необходимо усилить защиту своих сетей. В первую очередь следует обращать внимание на необычные цепочки процессов: запуск LNK-файлов из временных директорий, скрытые аргументы командной строки в PowerShell, появление подозрительных файлов в папке автозагрузки. Защитные решения на базе поведенческого анализа способны детектировать подобную активность по аномалиям запуска интерпретаторов и нетипичным параметрам команд.

Ситуация демонстрирует, что даже открытые платформы распространения ПО могут стать оружием в руках целенаправленных злоумышленников. Сочетание фишинга, вредоносной рекламы и атак через SourceForge делает группу HeartlessSoul гибкой и опасной. Связь с GOFFEE добавляет элемент неопределённости: возможно, в будущем эти группы объединят усилия или расширят список целей. Российским компаниям и ведомствам стоит воспринимать эту угрозу со всей серьёзностью и оперативно проверять свои системы на наличие признаков компрометации.

IPv4

• 185.208.158.188
• 66.78.40.47
• 93.113.25.102

Domains

• battleflight.pro
• cherrymixtureinstrument.com
• codeinecrazy.xyz
• landownerdozenguard.com
• monkey.kyun.li
• newfolder.click
• playerdragonbike.com
• theoryviraleliminate.com

URLs

• alphafly-drones.com/downloads/alphaflyinstallv1-2.msi
• stardebug.app/static/files/StarDebug_1.0.1.msi

MD5

• 016e7b7217c9c42f413cbcd46f874d63
• 0fe7d08ed8d33492a2ac722b73626a0a
• 19b8d33c3648aad7249dba293b1f87b2
• 1acde22e21776bf4469dcc29e0b064d7
• 1b792c81329dbb0fc9e41aa1ba8071bb
• 1fb932fa6e6c0828b6cdd361e8619e39
• 21394bac43e00af4a791728674652a9b
• 216b9951a483a33f66f5d012064f7162
• 242c7e139cebc7e787d8a1524ebc8d26
• 26261c9a1c315c8e37a486b4ee1eb1b6
• 2f328833865b7c97b0a1188bf1a26792
• 2f7cf44886865e9fbd404e17300aa396
• 3117d0ebc4cad72d72059f10a4003b33
• 32a2c2480f1c31294a4137f8497ef153
• 3691b28aac98109101a1c588ff700ae5
• 3a0bbf1ea830d9017646c968e9361c59
• 46838f95aa3365e7edb08dc4a8513014
• 46cf73d47c6ad417ee37dc98838dfc58
• 4e94855c77aa278d7ed461f54e20e60c
• 512437c210c9eb65baf6af44344c63cf
• 5573e0837078b432016637298d1ce926
• 57b4eeac620401a8405f01697035d43c
• 58276c2ea8aa23735fc20f6497e750b8
• 5c693069c52a2b970df5944387d68fae
• 5d50bd2b7f3a9feb5438e3d7f0755413
• 62d1b27b6d18a588506187853a060992
• 63b6eea158d56e6a0dca9bcd07a9d5ec
• 696eaf7e4f527f03d65c0f691552e6e8
• 69df8d733ee88aa1ef717127e157de51
• 6b24b3f911ac6aff02c30b09abb24cff
• 6c051791a1eaf7d6580b5c51d745878f
• 6e23b8e40f893d3a62feb3cbd6a8e9e1
• 7190852f6f6d3cc82d5e81065c55973d
• 71ac6becbf456211080cd9681ee6841d
• 72c1989164ec709e2ee12b7bf0d100fc
• 779d8a855bd1fac8c120316e88f891f1
• 7b4e881f2e8d5af259c3b50350d7378a
• 7b53f6caa9c9249967768bd3d3d6c397
• 7d8818c730ccce0321973f700d767724
• 7ffeb5f730b3c1aef115fa93164d05c7
• 81239c7fad689607817506b079b54d6a
• 814b9902bb84df9f60fa1523bfa74894
• 83e6895d43b79db7e34a68fcf69e34e7
• 8d1825a335efe1b7616d6fbc7e0f8fae
• 92bec935129ba62cef868a684604e323
• 954be7332fbac5c583265a147c935401
• 96190499dad000f19aefea19cb88e203
• 9b456e0fb8f8d570753b241baa3826cf
• 9d96f06c427bd06f2819b1906069c6e8
• 9f44e6d7055451a049529da88a46e343
• a13a0359547be6591cd687095c948dfa
• a15e1190b7df42a1996f1c9bca8134e7
• ac7b70ac9efe6cb31220b549f46bf529
• b25df20803fcbb82544b7c845e39c6e4
• b6f4900da57dd280a321cfc4f2dd575b
• ba1a3ddf8b68af435f978c708063330c
• ba1fadbe3b8bc2868700980124e57e92
• ba415ea182f929ea972315d5ff0dcc89
• bbf7181d17801d050bb518914029c025
• bbfe06d6406eec314eaac4c7b9869097
• c1104fb0dccde95145983ae349eacaf9
• c202769dd3b654cbb8d628bc95c920b5
• cca82030f346f37b477b9293bc27b2f3
• d2052109c392ad5de230b85c74b242ca
• d958f1342ec730e73e369a440078bbac
• d99090c0d681b73fbf471be67967ae17
• df1f0d7e437d2f8864275b490356d836
• e5596caf30d375b9fc81b936cdf6499d
• ec7f27a07104cca1e4a921a0aec784e9
• f1b0a7de41a15ed94c88d945831ed046
• f5ac6fff7fce52f23b81f3abd96a6006
• f771bacddb1ea53e4e04f73cdb5f799e