Этот шпионский инструмент годами незаметно собирал данные
Исследователи ESET отследили возрождение группы Sednit через современный набор инструментов, построенный вокруг двух взаимодополняющих имплантов: BeardShell и Covenant. Каждый из них использует отдельного облачного провайдера для обеспечения операционной устойчивости. Эта архитектура с двумя имплантами позволила вести постоянную слежку за украинским военным персоналом как минимум с апреля 2024 года. Сама группа Sednit была связана Министерством юстиции США в 2016 году с 26165-м подразделением ГРУ, что идентифицирует её как часть Главного разведывательного управления России.
Шпионский инструмент, скрывающийся на виду
Отчёт ESET о современной деятельности Sednit начинается с импланта SlimAgent, обнаруженного на компьютере украинского государственного учреждения CERT-UA в апреле 2024 года. SlimAgent — это простой, но эффективный инструмент шпионажа, способный регистрировать нажатия клавиш, делать снимки экрана и собирать данные из буфера обмена.
В своей телеметрии ESET выявила ранее неизвестные образцы с кодом, похожим на SlimAgent, которые развёртывались ещё в 2018 году — за шесть лет до украинского случая — против государственных структур в двух европейских странах. Таким образом, SlimAgent, по-видимому, является эволюцией модуля кейлоггера Xagent, который использовался как самостоятельный компонент как минимум с 2018 года. Xagent — это собственный набор инструментов, используемый исключительно группой Sednit на протяжении более шести лет.
BeardShell: Облачное хранилище превратилось в шпионский канал
SlimAgent был не единственным имплантом, обнаруженным на украинском компьютере в 2024 году; там же был развёрнут и BeardShell — гораздо более новое дополнение к собственному арсеналу Sednit.
BeardShell — это сложный имплант, способный выполнять команды PowerShell в среде выполнения .NET, используя при этом легитимный сервис облачного хранения Icedrive в качестве канала управления и контроля. Совместное использование редкой техники обфускации в сочетании с его совместным размещением с SlimAgent позволяет ESET с высокой степенью уверенности утверждать, что BeardShell является частью собственного арсенала Sednit.
Covenant: Инструмент с открытым исходным кодом, перепрофилированный для шпионажа
С момента первоначального инцидента в 2024 году Sednit продолжала развёртывать BeardShell в течение 2025 и 2026 годов, в основном в рамках долгосрочных операций по шпионажу, нацеленных на украинский военный персонал.
Для сохранения постоянного доступа к этим высокоценным целям, Sednit систематически развертывает вместе с BeardShell еще один имплант: Covenant, финальный компонент своего современного арсенала. Covenant — это фреймворк для пост-эксплуатации с открытым исходным кодом, написанный на .NET, и предоставляет более 90 встроенных задач, поддерживая такие возможности, как эксфильтрация данных, мониторинг целей и перемещение по сети.
Начиная с 2023 года, разработчики Sednit внесли ряд модификаций и провели эксперименты с Covenant, чтобы утвердить его в качестве своего основного шпионского импланта, оставив BeardShell главным образом в качестве запасного варианта на случай, если у Covenant возникнут операционные проблемы, например, вывод из строя его облачной инфраструктуры.
Sednit успешно полагается на Covenant уже несколько лет, особенно против избранных целей в Украине. Например, в 2025 году наш анализ облачных дисков Covenant, контролируемых Sednit, выявил машины, которые находились под наблюдением более шести месяцев. В январе 2026 года Sednit также развернул Covenant в серии целевых фишинговых кампаний, эксплуатирующих уязвимость CVE-2026-21509, о чем сообщал CERT-UA.
Те же руки, спустя десятилетие
Сложность BeardShell и масштабные модификации, внесенные в Covenant, демонстрируют, что разработчики Sednit по-прежнему полностью способны создавать продвинутые кастомные импланты. Более того, общий код и техники, связывающие эти инструменты с их предшественниками 2010-х годов, убедительно свидетельствуют о преемственности внутри команды разработчиков.