O grupo de ameaças APT28, patrocinado pelo Estado russo, está utilizando uma versão personalizada do framework open-source de pós-exploração Covenant em operações de espionagem de longa duração.
Também conhecido pelos nomes Fancy Bear, Forest Blizzard, Strontium e Sednit, o APT28 é conhecido pelo desenvolvimento de implantes sofisticados e pela invasão de alvos estratégicos, como o Parlamento Alemão, diversas organizações francesas, redes governamentais da Polônia e países membros da OTAN na Europa.
Pesquisadores da empresa de cibersegurança ESET identificaram que, desde abril de 2024, o grupo passou a empregar dois implantes chamados BeardShell e Covenant em suas investidas.
“Essa estratégia de implantes duplos permitiu a vigilância prolongada de militares ucranianos”, destaca a ESET em seu relatório divulgado hoje.
Essas duas variantes de malware foram usadas recentemente para atacar órgãos executivos centrais da Ucrânia, explorando a vulnerabilidade
CVE-2026-21509
no Microsoft Office por meio de arquivos DOC maliciosos.
A descoberta dessas famílias de malware ocorreu após a identificação do SlimAgent, um implante keylogger ativado em sistemas governamentais ucranianos, capaz de capturar teclas digitadas, coletar o conteúdo da área de transferência e tirar screenshots.
O BeardShell é um implante moderno que utiliza o serviço legítimo de armazenamento em nuvem Icedrive para comunicação de comando e controle (C2).
Ele executa comandos PowerShell em ambiente .NET e, conforme relatório do CERT-UA de junho de 2025, foi usado em conjunto com o SlimAgent.
A ESET revelou que o BeardShell adota uma técnica única de obfuscação, anteriormente observada no Xtunnel — ferramenta de pivotagem de rede utilizada pelo APT28 na década de 2010.
Nos ataques mais recentes, o grupo russo combinou o BeardShell com uma versão fortemente modificada do framework open-source Covenant .NET.
As alterações incluem identificadores determinísticos do implante vinculados a características do host, fluxo de execução modificado para evitar detecção comportamental e novos protocolos de comunicação baseados na nuvem.
Desde julho de 2025, o ator de ameaça passou a usar o provedor de nuvem Filen para operar o Covenant, substituindo anteriormente os serviços Koofr e pCloud.
Segundo a ESET, o Covenant funciona como implante principal, enquanto o BeardShell atua como ferramenta de contingência.
“Desde 2023, os desenvolvedores do Sednit vêm realizando modificações e experimentos no Covenant para estabelecer esse framework como seu implante principal de espionagem, mantendo o BeardShell principalmente como alternativa para casos de falha operacional, como a derrubada da infraestrutura em nuvem”, explica a ESET.
A empresa acredita que a equipe avançada de desenvolvimento de malware do APT28 retomou suas atividades em 2024, dotando o grupo de novas capacidades para operações de espionagem de longa duração.
As semelhanças técnicas com malwares da década de 2010 indicam continuidade na equipe de desenvolvimento da ameaça.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...