Phishing aviazione russa: simulatori droni rubano dati sensibili

Phishing aviazione russa: simulatori droni rubano dati sensibili

Da settembre 2025, il gruppo di cyber-spionaggio HeartlessSoul prende di mira agenzie governative e aziende dell'aviazione russa con campagne di phishing mirate. Il rischio attuale è l'adattamento tattico degli attaccanti che, come emerso questa settimana, utilizzano esche tematiche legate al conflitto per rubare dati geospaziali strategici. L'evoluzione delle esche suggerisce un bersaglio militare specifico.

Il contesto dell'operazione HeartlessSoul

Kaspersky ha reso pubblico questa settimana il report sulla campagna di spionaggio informatico orchestrata dal gruppo HeartlessSoul. L'attività del cluster, attiva almeno da settembre 2025, si concentra su agenzie governative russe e aziende del settore aviazione.

L'infrastruttura d'attacco sfrutta domini creati per imitare risorse legate all'aviazione, attraverso i quali viene distribuito malware camuffato da software legittimo. Gli attaccanti hanno sfruttato anche la piattaforma legittima SourceForge per diffondere una versione falsa di GearUP contenente spyware.

Le tattiche di accesso e il malware spyware

L'accesso iniziale avviene principalmente tramite email di phishing contenenti archivi infetti e campagne pubblicitarie dannose che imitano siti di software per l'aviazione. Una volta eseguito il caricamento malevolo, il malware avvia un'estesa raccolta di dati dal dispositivo compromesso.

Il software malevolo è progettato per rubare dati GIS (Geographic Information System), catturare screenshot, registrare sequenze di tasti e prelevare dati del browser e credenziali Telegram. Determina inoltre la posizione esatta del dispositivo infetto, un dettaglio che eleva il rischio per gli operatori che si trovano fisicamente sul campo.

L'evoluzione delle esche e il legame con il conflitto

Secondo l'analista indipendente Oleg Shakirov, la distribuzione del malware avviene anche tramite file camuffati da simulatori di droni FPV e strumenti per aggirare le restrizioni di Starlink.

"If confirmed, that could suggest the attacks were aimed not just at aviation companies but at drone operators, communications specialists or other military personnel"

, ha spiegato Shakirov.

L'uso di esche così specifiche indica un adattamento mirato al contesto del conflitto Russia-Ucraina. Questo suggerisce che gli attaccanti stiano cercando di colpire operatori militari o specialisti delle comunicazioni attivi nelle aree di operazioni, sfruttando la necessità di tool operativi molto richiesti in questo momento.

"Analysis of the HeartlessSoul group's activity shows a targeted interest by the attackers in enterprises within Russian industry with the aim of obtaining confidential data, particularly geospatial information"

, sottolineano i ricercatori Kaspersky.

Kaspersky ha inoltre identificato legami tra HeartlessSoul e il gruppo di hacking Goffee, indicando possibili operazioni coordinate o correlate. Resta invece incerta la correlazione temporale con gli attacchi alla Russian Federal Air Transport Agency (Rosaviatsia), per i quali non è nota una data certa e non è possibile stabilire se facciano parte della stessa campagna.

Cosa fare adesso

Di fronte a campagne di phishing mirate che sfruttano esche tematiche d'attualità, le organizzazioni esposte devono adottare contromisure specifiche per mitigare il rischio di esfiltrazione di dati sensibili.

• Ispezionare i log di rete per rilevare traffico in uscita verso domini sospetti legati all'aviazione o domini SourceForge non autorizzati, al fine di identificare possibili infezioni in corso.
• Implementare segmentazione di rete rigorosa per i dispositivi che gestiscono dati GIS e comunicazioni Telegram, limitando la superficie di esposizione in caso di compromissione.
• Isolare i sistemi che hanno scaricato di recente eseguibili correlati a simulatori FPV o tool per la gestione di connessioni Starlink, sottoponendoli a un'analisi forense approfondita.
• Restringere l'uso di archivi compressi ricevuti via email e bloccare l'esecuzione di file scaricati da piattaforme di hosting open-source senza una verifica di sicurezza preventiva.

Domande frequenti

Cos'è il gruppo HeartlessSoul?

È un gruppo di cyber-spionaggio attivo almeno da settembre 2025 che prende di mira agenzie governative russe e aziende dell'aviazione per rubare dati riservati, in particolare informazioni geospaziali.

Come viene distribuito il malware di HeartlessSoul?

Il malware viene distribuito tramite email di phishing con archivi infetti, siti falsi che imitano software per l'aviazione, e versioni modificate di programmi legittimi su piattaforme come SourceForge.

Quali dati ruba questo spyware?

Il software malevolo esfiltra dati GIS, screenshot, sequenze di tasti, dati del browser, credenziali Telegram e la posizione geografica del dispositivo infetto.

L'adattamento delle esche al teatro operativo dimostra come lo spionaggio informatico si evolva per sfruttare le esigenze contingenti degli operatori sul campo. Il rischio reale è che la ricerca di strumenti operativi, come simulatori FPV o sistemi per aggirare le restrizioni di rete, diventi il vettore diretto per la compromissione di asset strategici e informazioni sensibili.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://en.wikipedia.org/wiki/KGB
• https://it.wikipedia.org/wiki/Slu%C5%BEba_vne%C5%A1nej_razvedki
• https://www.ictsecuritymagazine.com/articoli/lo-spionaggio-cibernetico-eventi-scenari-protagonisti-finalita/
• https://www.ictsecuritymagazine.com/articoli/operazioni-di-cyber-spionaggio-nel-conflitto-tra-russia-e-ucraina/
• https://it.wikipedia.org/wiki/Glavnoe_razvedyvatel'noe_upravlenie