Компания ESET – лидер в области информационной безопасности – предупреждает о возобновлении активности группы киберпреступников Sednit. В частности, с апреля 2024 года она использует новые вредоносные инструменты BeardShell и Covenant для осуществления долгосрочного шпионства за украинскими военными. В 2016 году Министерство юстиции США связало группу Sednit с подразделением 26165 ГРУ, органом управления военной разведкой россии в составе Главного разведывательного управления российских вооруженных сил.
Новая фаза активности Sednit началась с обнаружения CERT-UA шпионского инструмента SlimAgent в апреле 2024 года на компьютере украинского правительства. Этот простой, но эффективный шпионский инструмент может отслеживать нажатия клавиш, делать снимки экрана и собирать данные из буфера обмена. В своей телеметрии исследователи ESET обнаружили ранее неизвестные образцы с кодом, похожим на SlimAgent, которые были использованы еще в 2018 году (за шесть лет до случая в Украине) против правительственных учреждений в двух европейских странах. Таким образом, этот новый инструмент, вероятно, является более совершенной версией модуля программы для считывания нажатий клавиатуры Xagent, который используется как независимый компонент по крайней мере с 2018 года. Xagent – это набор инструментов, который уже более шести лет используется исключительно группой Sednit.
Кроме SlimAgent, новый и более сложный инструмент, BeardShell, также был зафиксирован на украинской рабочей станции в 2024 году. Он способен выполнять команды PowerShell в среде выполнения .NET, используя официальный облачный сервис Icedrive в качестве командного сервера (C&C). Одновременное использование редкой техники обфускации в сочетании с SlimAgent дало специалистам ESET основания с высокой степенью уверенности утверждать, что BeardShell является частью инструментария Sednit.
С момента первого инцидента в 2024 году эта шпионская группа продолжала использовать BeardShell в течение 2025 и 2026 годов для долгосрочных шпионских операций, направленных против военнослужащих Украины. Чтобы обеспечить постоянный доступ к этим важным целям, Sednit систематически использовала вместе с BeardShell еще один инструмент: Covenant, финальный компонент своего современного инструментария с открытым исходным кодом .NET. Он содержит более 90 встроенных задач, обеспечивая такой функционал, как перехват данных, мониторинг целевых систем и несанкционированное перемещение данных по сети через скомпрометированные узлы (pivoting). Кроме сочетания инструментов, группа также использовала легитимные облачные сервисы для закрепления в системе.
С 2023 года разработчики Sednit внесли ряд модификаций в Covenant, чтобы сделать его своим основным шпионским инструментом, оставляя BeardShell в качестве запасного варианта на случай технических проблем в Covenant, таких как вывод из строя его облачной инфраструктуры. Sednit использует Covenant для атак выбранных целей в Украине уже несколько лет. Например, в 2025 году анализ ESET облачных дисков Covenant, контролируемых Sednit, обнаружил рабочие станции, которые отслеживались в течение более шести месяцев. В январе 2026 года Sednit также применил Covenant в серии операций с целенаправленным фишингом, используя уязвимость CVE 2026 21509, как сообщила CERT-UA.
Сложность BeardShell и многочисленные модификации Covenant свидетельствуют о том, что разработчики Sednit по-прежнему способны создавать современные инструменты на заказ. Кроме того, общий код и приемы, связывающие эти инструменты с их предшественниками 2010-х годов, указывают на неизменность состава команды разработчиков.