De door de Russische staat gesponsorde hackgroep volgde APT28 Er is waargenomen dat gebruik werd gemaakt van een paar implantaten genaamd BEARDSHELL en COVENANT om langetermijnbewaking van Oekraïens militair personeel te vergemakkelijken.
De twee malwarefamilies worden sinds april 2024 in gebruik genomen, aldus ESET in een nieuw rapport gedeeld met The Hacker News.
APT28, ook gevolgd als Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (voorheen Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy en TA422, is een natiestaatacteur die is aangesloten bij Unit 26165 van de militaire inlichtingendienst GRU van de Russische Federatie.
Het malwarearsenaal van de bedreigingsactor bestaat uit tools als BEARDSHELL en COVENANT, samen met een ander programma met de codenaam SLIMAGENT dat toetsaanslagen kan registreren, schermafbeeldingen kan maken en klembordgegevens kan verzamelen. SLIMAGENT werd voor het eerst publiekelijk gedocumenteerd door het Computer Emergency Response Team van Oekraïne (CERT-UA) in juni 2025.
Volgens het Slowaakse cyberbeveiligingsbedrijf heeft SLIMAGENT zijn wortels in XAgent, een ander implantaat dat APT28 in de jaren 2010 gebruikte om afstandsbediening en gegevensexfiltratie te vergemakkelijken. Dit is gebaseerd op code-overeenkomsten die zijn ontdekt tussen SLIMAGENT en voorheen onbekende voorbeelden die al in 2018 werden ingezet bij aanvallen op overheidsinstanties in twee Europese landen.
Er wordt vastgesteld dat de artefacten uit 2018 en het SLIMAGENT-monster uit 2024 afkomstig waren van XAgent, waarbij de analyse van ESET overlappingen aan het licht bracht in de keylogging tussen SLIMAGENT en een XAgent-monster dat eind 2014 in het wild werd gedetecteerd.
“SLIMAGENT verzendt zijn spionagelogboeken in HTML-formaat, met de applicatienaam, de vastgelegde toetsaanslagen en de vensternaam in respectievelijk blauw, rood en groen”, aldus ESET. “De XAgent keylogger produceert ook HTML-logs met hetzelfde kleurenschema.”
Ook ingezet in verband met SLIMAGENT is een andere achterdeur, BEARDSHELL genaamd, die in staat is PowerShell-opdrachten uit te voeren op gecompromitteerde hosts. Het maakt gebruik van de legitieme cloudopslagdienst Icedrive voor command-and-control (C2).
Een opmerkelijk aspect van de malware is dat deze gebruik maakt van een onderscheidende verduisteringstechniek die ondoorzichtig predicaat wordt genoemd en die ook wordt aangetroffen in XTunnel (ook bekend als X-Tunnel), een tool voor het doorkruisen en draaien van netwerken die door APT28 werd gebruikt bij de hack van het Democratic National Committee (DNC) uit 2016. De tool biedt een beveiligde tunnel naar een externe C2-server.
“Het gedeelde gebruik van deze zeldzame verduisteringstechniek, gecombineerd met de colocatie met SLIMAGENT, zorgt ervoor dat we met groot vertrouwen kunnen vaststellen dat BEARDSHELL deel uitmaakt van het aangepaste arsenaal van Sednit”, voegde ESET eraan toe.
Een derde belangrijk onderdeel van de toolkit van de dreigingsactor is COVENANT, een open-source .NET post-exploitatieframework dat “sterk” is aangepast om spionage op de lange termijn te ondersteunen en om een nieuw cloudgebaseerd netwerkprotocol te implementeren dat sinds juli 2025 misbruik maakt van de cloudopslagdienst van Filen voor C2. Eerder zou de COVENANT-variant van APT28 pCloud (in 2023) en Koofr (in 2023) hebben gebruikt. 2024-2025).
“Deze aanpassingen laten zien dat Sednit-ontwikkelaars diepgaande expertise hebben verworven in Covenant – een implantaat waarvan de officiële ontwikkeling in april 2021 stopte en door verdedigers mogelijk als ongebruikt werd beschouwd”, aldus ESET. “Deze verrassende operationele keuze lijkt vruchten af te werpen: Sednit vertrouwt al jaren met succes op Covenant, vooral tegen geselecteerde doelen in Oekraïne.”
Dit is niet de eerste keer dat het vijandige collectief de dual-implantatiestrategie omarmt. In 2021 onthulde Trellix dat APT28 Graphite, een achterdeur die gebruik maakte van OneDrive voor C2, en PowerShell Empire inzet bij aanvallen gericht op hooggeplaatste overheidsfunctionarissen die toezicht houden op het nationale veiligheidsbeleid en individuen in de defensiesector in West-Azië.
