Le leader de la cybersécurité ESET vient de publier une analyse détaillée sur la réactivation du groupe de hackers Sednit. Directement rattachée au renseignement militaire russe (GRU), l’organisation déploie désormais une nouvelle génération d’implants, baptisés BeardShell et Covenant, pour infiltrer durablement les réseaux stratégiques ukrainiens.
Le conflit qui oppose la Russie et l’Ukraine ne se joue pas uniquement sur le front physique. Dans l’ombre des réseaux, le groupe de cyberespionnage Sednit (également connu sous le nom d’APT28) fait preuve d’une résilience technique inquiétante. Selon les dernières investigations des laboratoires d’ESET, ce groupe a considérablement fait évoluer ses méthodes pour maintenir une surveillance de longue durée.
De SlimAgent à BeardShell : une mutation technologique
L’alerte a été donnée en avril 2024, lorsque le CERT-UA a détecté un implant nommé SlimAgent sur un poste gouvernemental ukrainien. L’analyse effectuée par les experts d’ESET a permis de remonter la piste de l’arsenal historique du groupe.
SlimAgent n’est en réalité qu’une évolution de Xagent, un module utilisé exclusivement par Sednit depuis 2018. Cependant, l’enquête a révélé la présence d’un composant bien plus redoutable sur la même machine : BeardShell. Cet implant sophistiqué utilise des services cloud légitimes, comme Icedrive, pour dissimuler ses communications (C2), rendant sa détection par les outils de sécurité classiques extrêmement complexe.
Covenant : le pivot stratégique des campagnes 2025-2026
La force de Sednit réside désormais dans une stratégie de « double implant » pour garantir la persistance de l’accès aux données. Entre 2025 et début 2026, le groupe a massivement déployé Covenant, un framework open source .NET profondément modifié par les développeurs russes.
- Polyvalence : Avec plus de 90 tâches prédéfinies, Covenant permet l’exfiltration massive de données et le mouvement latéral au sein d’un réseau compromis.
- Résilience : En cas de défaillance ou de suppression de l’infrastructure de Covenant, BeardShell prend le relais comme solution de secours.
- Ciblage de précision : En janvier 2026, cette panoplie a été utilisée lors de campagnes de spear-phishing exploitant la vulnérabilité CVE-2026-21509.
Une continuité opérationnelle depuis 2010
Ce qui frappe les analystes d’ESET, c’est la pérennité de cette équipe de développement. Les similitudes de code entre les implants actuels et les outils utilisés il y a plus de 15 ans suggèrent une stabilité rare dans l’univers des groupes APT (Advanced Persistent Threat).
Cette professionnalisation permet à Sednit de surveiller des cibles militaires ukrainiennes pendant des périodes dépassant parfois six mois. L’exploitation habile des services cloud pour masquer le trafic malveillant illustre parfaitement la nouvelle doctrine du groupe : se fondre dans le flux numérique légitime pour frapper au cœur des institutions.
Pour une analyse détaillée de l’arsenal récent de Sednit, consultez l’article de blog d’ESET Research intitule « Sednit rechargé : De retour dans les tranchées” sur WeLiveSecurity.com.
 utilise les nouveaux implants BeardShell et Covenant pour espionner l’armée ukrainienne en 2026.){kind=link}