Se ha observado que un grupo de hackers patrocinado por el estado ruso, rastreado como APT28, utiliza un par de implantes llamados BEARDSHELL y COVENANT para facilitar la vigilancia a largo plazo del personal militar ucraniano.
En un nuevo informe compartido con The Hacker News, ESET dijo que las dos familias de malware han estado en uso desde abril de 2024.
APT28, también rastreado como Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente conocido como Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422, es un actor estatal afiliado a la Unidad 26165 de la agencia de inteligencia militar de la Federación Rusa, GRU.
El arsenal de malware del actor de amenazas consta de herramientas como BEARDSHELL y COVENANT, así como otro programa con nombre en código SLIMAGENT que puede registrar pulsaciones de teclas, capturar capturas de pantalla y recopilar datos del portapapeles. SLIMAGENT fue documentado públicamente por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en junio de 2025.
Según la empresa eslovaca de ciberseguridad, las raíces de SLIMAGENT se encuentran en XAgent, otro implante utilizado por APT28 en la década de 2010 para facilitar el control remoto y la fuga de datos. Esto se basa en las similitudes de código descubiertas entre SLIMAGENT y una muestra desconocida introducida en ataques dirigidos a agencias gubernamentales en dos países europeos en 2018.
Se cree que el artefacto de 2018 y la muestra SLIMAGENT 2024 se originan en XAgent, y el análisis de ESET revela una superposición de registro de teclas entre SLIMAGENT y una muestra de XAgent que en realidad se detectó a finales de 2014.
«SLIMAGENT genera registros de actividad espía en formato HTML, con nombres de aplicaciones, pulsaciones de teclas registradas y nombres de ventanas mostrados en azul, rojo y verde, respectivamente», dijo ESET. «El keylogger XAgent también genera registros HTML utilizando el mismo esquema de color».
Asociado con SLIMAGENT, también se implementó otra puerta trasera llamada BEARDSHELL que puede ejecutar comandos de PowerShell en hosts comprometidos. Utilizamos el servicio oficial de almacenamiento en la nube Icedrive para comando y control (C2).
Comparación de código entre SLIMAGENT (izquierda) y XAgent (derecha)
Un aspecto notable de este malware es que utiliza una técnica de ofuscación única llamada predicados opacos. Esta tecnología también se encuentra en XTunnel (también conocido como X-Tunnel), una herramienta de pivote y recorrido de red utilizada por APT28 en el hack del Comité Nacional Demócrata (DNC) de 2016. Esta herramienta proporciona un túnel seguro a un servidor C2 externo.
«El uso compartido de esta técnica de ofuscación inusual, combinada con su ubicación conjunta con SLIMAGENT, nos permite evaluar con alta confianza que BEARDSHELL es parte del arsenal personalizado de Sednit», agregó ESET.
La tercera pieza importante del conjunto de herramientas de un actor de amenazas es COVENANT, un marco de trabajo posterior a la explotación de .NET de código abierto. Se ha modificado «sustancialmente» para admitir el espionaje a largo plazo e implementar un nuevo protocolo de red basado en la nube que explota el servicio de almacenamiento en la nube Filen de C2 a partir de julio de 2025. Anteriormente, se decía que la variante COVENANT de APT28 usaba pCloud (2023) y Koofr (2023). 2024-2025).
«Estos indicios demuestran que los desarrolladores de Sednit han adquirido una profunda experiencia con Covenant, un implante que detuvo el desarrollo formal en abril de 2021 y sus defensores lo consideraron no utilizado», dijo ESET. «Esta sorprendente elección operativa parece haber dado sus frutos. Sednit ha confiado con éxito en el Pacto durante varios años, particularmente contra objetivos seleccionados en Ucrania».
Esta no es la primera vez que un grupo rival emplea una estrategia de doble implante. En 2021, Trellix reveló que APT28 implementó una puerta trasera Graphite utilizando OneDrive para C2 y PowerShell Empire en ataques dirigidos a funcionarios gubernamentales e individuos del sector de defensa que supervisan la política de seguridad nacional en Asia occidental.
Source link
