Desde abril de 2024, el equipo de desarrollo avanzado del grupo Sednit ha vuelto a emerger con un conjunto moderno de herramientas centradas en dos implantes interrelacionados: BeardShell y Covenant. Cada uno de estos implantes utiliza un proveedor de nube diferente para garantizar la resiliencia, lo que ha permitido la vigilancia a largo plazo de personal militar ucraniano. Resulta interesante observar que estos conjuntos de herramientas actuales tienen una línea directa de código que se remonta a los implantes usados por el grupo en la década de 2010.
Investigadores de ESET rastrearon la reactivación del equipo de implantes avanzados de Sednit a un caso de 2024 en Ucrania, donde se desplegó un keylogger llamado SlimAgent. Este código se deriva de Xagent, la puerta trasera más emblemática de Sednit de los años 2010. Durante esa operación, también se realizó el despliegue de BeardShell, un implante que ejecuta comandos de PowerShell a través de un proveedor de nube legítimo, utilizando esto como su canal de comando y control.
A lo largo de 2025 y 2026, Sednit ha continuado desplegando BeardShell junto a Covenant, un tercer componente destacado de su conjunto moderno. Sednit ha reestructurado considerablemente este implante de código abierto para soportar operaciones de espionaje a largo plazo y para implementar un nuevo protocolo de red basado en otro proveedor de nube legítimo.
El grupo Sednit, también conocido como APT28 o Fancy Bear, ha estado operando desde al menos 2004. Está vinculado al Ministerio de Defensa de Rusia y ha sido identificado como responsable de una serie de ataques cibernéticos de alto perfil, incluyendo la piratería del Comité Nacional Demócrata de EE. UU. en 2016 y el ataque a la red de televisión TV5Monde en Francia. Su enfoque ha pasado por diversas fases, destacándose inicialmente por un arsenal sofisticado de implantes, pero en 2019 su actividad se redujo drásticamente, enfocándose más en campañas de phishing.
El redescubrimiento del arsenal personalizado del grupo señala una posible reactivación tras la invasión rusa de Ucrania, sugiriendo que los desarrolladores nunca dejaron de trabajar, sino que se volvieron más cautelosos. SlimAgent, un implante de espionaje simple pero efectivo, ha sido atribuido con alta confianza al grupo, gracias a las similitudes de código encontradas en muestras más antiguas. BeardShell, por su parte, muestra una notable sofisticación en su capacidad para ejecutar comandos y su dependencia de los servicios de almacenamiento en la nube marca el sello de un desarrollo intensivo.
Zacando a Covenant, un marco de post-explotación de .NET que permite crear y gestionar implantes, Sednit ha realizado diversas modificaciones desde 2023 para establecerlo como su implante principal. Estos cambios pueden indicar una estrategia adaptativa para facilitar operaciones de espionaje a largo plazo.
En resumen, la actividad reciente de Sednit demuestra que su equipo de desarrollo avanzado permanece activo, utilizando un enfoque de doble implante que permite restablecer rápidamente el acceso si uno de los canales es comprometido. La sofisticación de BeardShell y las extensas modificaciones realizadas en Covenant destacan la capacidad continua del grupo para elaborar implantes personalizados avanzados. La comunidad de seguridad se enfrenta ahora a nuevos desafíos en la lucha contra estas herramientas de espionaje sofisticadas mientras el grupo continúa utilizando tácticas adaptadas a un entorno de amenaza en evolución.
Fuente: WeLiveSecurity by eSet.
