Sednit повертається: хакери ГРУ розгорнули нові імпланти проти армії України

Sednit повертається: хакери ГРУ розгорнули нові імпланти проти армії України

Дослідники компанії ESET відстежили реактивацію групи Sednit — хакерського угруповання, яке Міністерство юстиції США ще у 2016 році пов'язало з підрозділом 26165 ГРУ Росії. Нове дослідження фіксує розгортання двох парних імплантів — BeardShell і Covenant — для тривалого кібершпигунства проти українських військових починаючи з квітня 2024 року.

Відправною точкою стало виявлення SlimAgent — шпигунського імпланту — на урядовому комп'ютері в Україні командою CERT-UA у квітні 2024 року. SlimAgent фіксує натискання клавіш, знімає скріншоти та збирає дані з буфера обміну. Телеметрія ESET виявила схожі зразки, розгорнуті ще у 2018 році проти урядових структур двох європейських країн. SlimAgent є еволюцією шпигунського модуля Xagent — власного інструментарію Sednit, що застосовується вже понад шість років.

На тій самій зараженій машині поруч зі SlimAgent було виявлено BeardShell — значно новіший імплант власного виробництва групи. Він здатний виконувати команди PowerShell у середовищі .NET, використовуючи легітимний хмарний сервіс Icedrive як прихований канал командування та управління. Спільні техніки обфускації та одночасне розгортання зі SlimAgent дозволяють ESET з високим рівнем впевненості атрибутувати BeardShell до арсеналу Sednit.

Для гарантованого збереження доступу до пріоритетних цілей група розгортає поруч із BeardShell інший інструмент — Covenant. Це фреймворк пост-експлуатації з відкритим кодом на базі .NET, що надає понад 90 вбудованих завдань і підтримує ексфільтрацію даних, моніторинг цілей та мережевий пивотинг. Починаючи з 2023 року, розробники Sednit активно модифікують Covenant, перетворюючи його на основний інструмент шпигунства, тоді як BeardShell виконує роль резервного варіанту на випадок проблем із хмарною інфраструктурою.

У 2025 році аналіз хмарних дисків Covenant виявив машини, за якими стеження тривало понад шість місяців. У січні 2026 року Sednit задіяв Covenant у серії фішингових кампаній з використанням вразливості CVE-2026-21509 — про це повідомляла CERT-UA. Складність BeardShell та масштаб модифікацій Covenant переконливо свідчать: група зберігає повний потенціал власної розробки та наступність у складі команди розробників.

Джерело: Globenewswire