ESET Research: Sednit, beruchte Russische spywaregroep, terug in Oekraïne
ESET Research heeft onlangs de reactivering van Sednit in kaart gebracht met behulp van diens moderne toolkit, gebaseerd op BeardShell en Covenant, twee gekoppelde implantaten die elk een andere cloudprovider gebruiken om weerstand te bieden. Met deze twee implantaten, sinds april 2024 in gebruik, werd langdurige monitoring van Oekraïens militair personeel mogelijk. In 2016 legde het US ministerie van Justitie een verband tussen de Sednit-groep en Eenheid 26165 van de GRU, een inlichtingendienst van de Russische Federatie binnen de Hoofddirectie Inlichtingen van het Russische leger.
Het rapport van ESET over Sednit’s actuele activiteiten begint met SlimAgent, een spionage-implantaat dat in april 2024 door CERT-UA werd ontdekt op een computer van de Oekraïense overheid. SlimAgent is een eenvoudige en efficiënte spionagetool die toetsaanslagen registreert, schermafbeeldingen maakt en klembordgegevens verzamelt. In zijn telemetrie identificeerde ESET voorheen onbekende stalen met code, vergelijkbaar met SlimAgent, die al in 2018 – zes jaar vóór de inval in Oekraïne – werden gebruikt tegen overheidsinstanties in twee Europese landen. SlimAgent zou een evolutie zijn van de Xagent-keyloggermodule, die al sinds 2018 als zelfstandige component gebruikt wordt. Xagent, een op maat gemaakte toolset, wordt dus al meer dan zes jaar exclusief door de Sednit-groep gebruikt.
SlimAgent was niet het enige implantaat dat in 2024 op de Oekraïense machine werd gevonden. BeardShell, veel recenter toegevoegd aan Sednits arsenaal van malware, stond er ook op. BeardShell is een geavanceerd implantaat, in staat om PowerShell-opdrachten uit te voeren binnen een .NET-runtime-omgeving. Daarbij gebruikt het de legitieme cloudopslagservice Icedrive als Command & Control-kanaal. Door het gedeelde gebruik van een zeldzame technische obfuscatie, in combinatie met de aanwezigheid van SlimAgent, concludeert ESET met grote zekerheid dat BeardShell deel uitmaakt van Sednit’s arsenaal van aangepaste malware.
Sinds de eerste aanval in 2024 heeft Sednit BeardShell in 2025 en 2026 continu ingezet, vooral bij langdurige spionageoperaties gericht op Oekraïens militair personeel. Om doorlopend toegang te behouden tot deze belangrijke doelwitten, zet Sednit systematisch naast BeardShell nog Covenant in, een ander implantaat, het nieuwste onderdeel van hun arsenaal. Covenant is een open-source .NET-framework voor post-exploitatie en biedt meer dan 90 ingebouwde taken. Deze ondersteunen data-exfiltratie, doelwitbewaking en netwerkmanipulatie.
Sinds 2023 deden de Sednit-ontwikkelaars een aantal aanpassingen met Covenant alsook experimenten om er hun primaire spionage-implantaat van te maken. BeardShell wordt vooral als back-up gebruikt mocht Covenant operationele problemen ondervinden, zoals het uitvallen van de cloudinfrastructuur. Sednit heeft Covenant jarenlang succesvol ingezet, vooral tegen geselecteerde Oekraïnse doelwitten. Dit bleek uit ESET’s analyse van door Sednit beheerde Covenant-cloudservers, die in 2025 al meer dan zes maanden machines gemonitord had. In januari 2026 zette Sednit Covenant in voor een reeks spearphishingcampagnes die de CVE 2026 21509-kwetsbaarheid misbruikten, zoals gerapporteerd door CERT UA.
Het sofisticatieniveau van BeardShell en de uitgebreide aanpassingen aan Covenant laten zien dat de ontwikkelaars van Sednit nog helemaal in staat zijn om geavanceerde, op maat gemaakte implantaten te produceren. De gedeelde code en technieken die deze tools aan hun voorgangers uit 2010 linken, wijzen op een sterke continuïteit binnen het ontwikkelingsteam.
Voor een meer gedetailleerde analyse van Sednit’s nieuwste wapenarsenaal, lees Sednit reloaded: Back in the trenches, de nieuwste blog van ESET Research op www.WeLiveSecurity.com. Volg ook ESET Research op Twitter, BlueSky en Mastodon voor de nieuwste info.
Dit artikel is geschreven door een van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.
