El grupo de hackers patrocinado por el estado ruso rastreado como APT 28 se ha observado el uso de un par de implantes denominados BEARDSHELL y COVENANT para facilitar la vigilancia a largo plazo del personal militar ucraniano.

Las dos familias de malware se utilizan desde abril de 2024, según ESET dijo en un nuevo informe compartido con The Hacker News.

APT28, también conocido como Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422, es un actor estatal afiliado a la Unidad 26165 de la agencia de inteligencia militar GRU de la Federación de Rusia.

El arsenal de malware del actor de amenazas consiste en herramientas como BEARDSHELL y COVENANT, junto con otro programa con nombre en código SLIMAGENT que es capaz de registrar las pulsaciones de teclas, capturar capturas de pantalla y recopilar datos del portapapeles. SLIMAGENT fue el primero documentado públicamente por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en junio de 2025.

adsense

SLIMAGENT, según la empresa de ciberseguridad eslovaca, tiene sus raíces en XAgent , otro implante utilizado por el APT28 en la década de 2010 para facilitar control remoto y exfiltración de datos . Esto se basa en las similitudes de código descubiertas entre SLIMAGENT y muestras previamente desconocidas utilizadas en ataques contra entidades gubernamentales en dos países europeos ya en 2018.

Se ha determinado que los artefactos de 2018 y la muestra de SLIMAGENT de 2024 procedían de XAgent, y el análisis de ESET descubrió superposiciones en el registro de teclas entre SLIMAGENT y un Ejemplo de XAgent detectado en estado salvaje a finales de 2014.

«SLIMAGENT emite sus registros de espionaje en formato HTML, con el nombre de la aplicación, las pulsaciones de teclas registradas y el nombre de la ventana en azul, rojo y verde, respectivamente», afirma ESET. «El registrador de teclas XAgent también produce registros HTML con el mismo esquema de colores».

También se implementa junto con SLIMAGENT otra puerta trasera denominada BEARDSHELL que es capaz de ejecutar comandos de PowerShell en hosts comprometidos. Utiliza el servicio legítimo de almacenamiento en la nube Icedrive para el comando y el control (C2).

Un aspecto destacable del malware es que utiliza una técnica de ofuscación distintiva denominada predicado opaco , que también se encuentra en Túnel X (también conocido como X-Tunnel), un herramienta de giro y recorrido de red utilizado por APT28 en el hackeo del Comité Nacional Demócrata (DNC) de 2016. La herramienta proporciona un túnel seguro a un servidor C2 externo.

«El uso compartido de esta rara técnica de ofuscación, combinado con su colocación con SLIMAGENT, nos lleva a evaluar con gran confianza que BEARDSHELL forma parte del arsenal personalizado de Sednit», agregó ESET.

enlaces

Una tercera pieza importante del conjunto de herramientas del actor de amenazas es COVENANT, un marco de posexplotación de .NET de código abierto que se ha modificado «en gran medida» para respaldar el espionaje a largo plazo e implementar un nuevo protocolo de red basado en la nube que hace un uso indebido del servicio de almacenamiento en la nube Filen para C2 desde julio de 2025. Anteriormente, se decía que la variante COVENANT de APT28 utilizaba pCloud (en 2023) y Koofr (en 2024-2025).

«Estas adaptaciones muestran que los desarrolladores de Sednit adquirieron una amplia experiencia en Covenant, un implante cuyo desarrollo oficial cesó en abril de 2021 y que los defensores podrían haber considerado no utilizado», afirma ESET. «Esta sorprendente elección operativa parece haber dado sus frutos: Sednit ha confiado con éxito en Covenant durante varios años, especialmente contra objetivos seleccionados en Ucrania ».

No es la primera vez que el colectivo adversario adopta la estrategia de doble implante. En 2021, Trellix revelada que el APT28 utilizó Graphite, una puerta trasera que empleaba OneDrive para C2, y PowerShell Empire en ataques contra altos funcionarios gubernamentales que supervisaban la política de seguridad nacional y contra personas del sector de la defensa en Asia occidental.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.