I ricercatori di ESET hanno tracciato la riattivazione del gruppo Sednit risalendo a un caso del 2024 in Ucraina, dove si utilizzava un keylogger chiamato SlimAgent che prevedeva l’uso di altri due malware denominati BeardShell e Covenant. Negli anni 2025 e 2026, Sednit ha impiegato ripetutamente questi strumenti arrivando a modificare il malware open source per supportare lo spionaggio a lungo termine e implementare un protocollo di rete basato su un reale cloud provider
I ricercatori di ESET grazie ai tool moderni adottati hanno rilevato la riattivazione di Sednit, un gruppo che agisce con due malware gemelli, BeardShell e Covenant, ciascuno dei quali utilizza un diverso provider cloud per garantire la resilienza. Tale approccio basato sui due malware ha reso possibile la sorveglianza prolungata dei militari ucraini ed è in uso dall’aprile 2024. Nel 2016, il Ministero della Giustizia degli Stati Uniti aveva già collegato il gruppo Sednit all’Unità 26165 del servizio GRU, un’agenzia di intelligence della Federazione Russa all’interno dei servizi segreti militari russi.
Il report di ESET sulle ultime attività di Sednit inizia con SlimAgent, un programma di spionaggio rilevato su un computer del governo ucraino nel 2024 dagli esperti del servizio CERT-UA. SlimAgent è uno strumento di spionaggio semplice ma efficace, in grado di registrare i tasti digitati, acquisire schermate e raccogliere dati dagli elementi presenti nella clipboard. All’interno dei propri dati telemetrici, ESET ha identificato campioni precedentemente sconosciuti con codice simile a SlimAgent, che sono stati distribuiti già nel 2018, sei anni prima del caso ucraino, contro enti governativi in due paesi europei. SlimAgent sembra quindi essere un’evoluzione del modulo keylogger Xagent, che è stato distribuito come componente autonomo almeno dal 2018. Xagent è un set customizzato di strumenti utilizzato esclusivamente dal gruppo Sednit da oltre sei anni.
SlimAgent non è stato l’unico malware trovato sul computer ucraino nel 2024; anche BeardShell, una novità molto più recente nell’arsenale customizzato di Sednit, è stato installato sullo stesso computer. BeardShell è un malware sofisticato in grado di eseguire comandi PowerShell all’interno di un ambiente runtime .NET, sfruttando il servizio di cloud storage autorizzato Icedrive come canale di Command & Control. L’uso condiviso di una rara tecnica di oscuramento, combinato con la collocazione insieme a SlimAgent, porta ESET a valutare con elevata certezza che BeardShell sia parte delle risorse create su misura da Sednit.
Dal primo caso del 2024, Sednit ha continuato a distribuire BeardShell fino a tutto il 2025 e nel 2026, utilizzando principalmente operazioni di spionaggio prolungate rivolte al corpo militare ucraino. Per mantenere un controllo costante su tali obiettivi strategici, Sednit distribuisce sistematicamente un altro malware insieme a BeardShell: Covenant, l’ultimo tassello che completa i molteplici strumenti a disposizione. Covenant è un framework open source .NET post-exploit che prevede oltre 90 attività integrate e supporta funzionalità quali l’esfiltrazione dei dati, il monitoraggio degli obiettivi e il networking pivoting.
A partire dal 2023, gli hacker di Sednit hanno messo a punto diverse modifiche e sperimentazioni su Covenant per renderlo il principale strumento di spionaggio, tenendo BeardShell come piano di riserva nel caso in cui Covenant avesse avuto problemi operativi, come la messa fuori uso della sua architettura cloud. Sednit ha usato con successo Covenant per diversi anni, soprattutto per colpire obiettivi specifici in Ucraina. Ad esempio, nel 2025, le analisi di ESET delle unità cloud Covenant controllate da Sednit hanno rivelato dispositivi monitorati per oltre sei mesi. Nel gennaio 2026, Sednit ha anche utilizzato Covenant in una serie di attacchi di spearphishing che sfruttavano la vulnerabilità CVE 2026 21509, come riferito dal CERT UA.
La sofisticazione di BeardShell e le sostanziali modifiche apportate a Covenant dimostrano che gli hacker di Sednit sono ancora in grado di produrre dei malware personalizzati di alto livello. Inoltre, il codice e le tecniche condivise che collegano questi strumenti ai precedenti risalenti al 2010 suggeriscono una forte continuità nel team di sviluppo.
