O grupo de hackers patrocinado pelo Estado russo rastreado como APT28 foi observado o uso de um par de implantes denominados BEARDSHELL e COVENANT para facilitar a vigilância a longo prazo do pessoal militar ucraniano.
As duas famílias de malware foram utilizadas desde abril de 2024, ESET disse em um novo relatório compartilhado com The Hacker News.
APT28, também rastreado como Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy e TA422, é um ator de estado-nação afiliado à Unidade 26165 da agência de inteligência militar da Federação Russa GRU.
O arsenal de malware do agente da ameaça consiste em ferramentas como BEARDSHELL e COVENANT, junto com outro programa de codinome SLIMAGENT que é capaz de registrar pressionamentos de tecla, capturar capturas de tela e coletar dados da área de transferência. SLIMAGENT foi documentado publicamente pela primeira vez pela Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA) em junho de 2025.
SLIMAGENT, de acordo com a empresa eslovaca de segurança cibernética, tem suas raízes no XAgent, outro implante usado pelo APT28 na década de 2010 para facilitar o controle remoto e a exfiltração de dados. Isto baseia-se em semelhanças de código descobertas entre o SLIMAGENT e amostras anteriormente desconhecidas implementadas em ataques contra entidades governamentais em dois países europeus já em 2018.
Avalia-se que os artefatos de 2018 e a amostra SLIMAGENT de 2024 se originaram do XAgent, com a análise da ESET descobrindo sobreposições no keylogging entre o SLIMAGENT e um Amostra XAgent detectado na natureza no final de 2014.
“O SLIMAGENT emite seus logs de espionagem no formato HTML, com o nome do aplicativo, as teclas digitadas e o nome da janela em azul, vermelho e verde, respectivamente”, disse a ESET. “O keylogger XAgent também produz logs HTML usando o mesmo esquema de cores.”
Também implantado em conexão com o SLIMAGENT está outro backdoor conhecido como BEARDSHELL, que é capaz de executar comandos do PowerShell em hosts comprometidos. Ele usa o serviço legítimo de armazenamento em nuvem Icedrive para comando e controle (C2).
 |
| Comparação de código entre SLIMAGENT (esquerda) e XAgent (direita) |
Um aspecto digno de nota do malware é que ele utiliza uma técnica de ofuscação distinta chamada predicado opacoque também é encontrado no XTunnel (também conhecido como X-Tunnel), um ferramenta de travessia e rotação de rede usado pelo APT28 no hack do Comitê Nacional Democrata (DNC) de 2016. A ferramenta fornece um túnel seguro para um servidor C2 externo.
“O uso compartilhado desta rara técnica de ofuscação, combinada com sua colocation com SLIMAGENT, nos leva a avaliar com alta confiança que BEARDSHELL faz parte do arsenal personalizado da Sednit”, acrescentou a ESET.
Uma terceira peça importante do kit de ferramentas do ator de ameaça é o COVENANT, uma estrutura pós-exploração .NET de código aberto que foi “fortemente” modificada para suportar espionagem de longo prazo e para implementar um novo protocolo de rede baseado em nuvem que abusa do serviço de armazenamento em nuvem Filen para C2 desde julho de 2025. Anteriormente, dizia-se que a variante COVENANT do APT28 usava pCloud (em 2023) e Koofr (em 2024-2025).
“Essas adaptações mostram que os desenvolvedores do Sednit adquiriram profundo conhecimento no Covenant – um implante cujo desenvolvimento oficial cessou em abril de 2021 e pode ter sido considerado não utilizado pelos defensores”, disse a ESET. “Esta surpreendente escolha operacional parece ter valido a pena: Sednit confiou com sucesso no Covenant durante vários anos, especialmente contra alvos selecionados na Ucrânia.”
Esta não é a primeira vez que o colectivo adversário adopta a estratégia de duplo implante. Em 2021, a Trellix revelou que o APT28 implantou o Graphite, um backdoor que empregava o OneDrive para C2, e o PowerShell Empire em ataques contra altos funcionários do governo que supervisionam a política de segurança nacional e indivíduos no setor de defesa na Ásia Ocidental.
Deseja saber mais sobre Golpes Online, Spam, Phishing e Cibersegurança Clique Aqui!