O famoso grupo de ameaças patrocinado pelo estado russo, conhecido como APT28, está a utilizar uma variante personalizada da estrutura de código aberto Covenant para realizar operações de espionagem de longo prazo. A descoberta foi feita pelos investigadores de cibersegurança da ESET, que notaram o uso de duas novas ferramentas nestas investidas.
Também acompanhado por nomes como Fancy Bear, Forest Blizzard, Strontium e Sednit, o grupo APT28 tem um longo historial de desenvolvimento de implantes de alta qualidade e de invasões a entidades de relevo, como o Parlamento Alemão, organizações francesas, redes governamentais na Polónia e países europeus membros da NATO. Desde abril de 2024, a equipa começou a utilizar duas ferramentas principais nos seus ataques, designadas por BeardShell e Covenant, o que permitiu uma vigilância prolongada de militares ucranianos.
A porta de entrada nos sistemas
As duas peças de malware foram utilizadas recentemente para atingir órgãos do poder executivo central da Ucrânia. Estes ataques exploraram a vulnerabilidade CVE-2026-21509 presente no Microsoft Office, recorrendo a ficheiros DOC maliciosos para iniciar a infeção.
Os investigadores descobriram estas famílias de software malicioso após detetarem o SlimAgent, um implante de registo de teclas implementado num sistema governamental ucraniano. Esta ferramenta era capaz de capturar as teclas premidas, recolher dados da área de transferência e capturar imagens do ecrã das vítimas.
Uma estratégia baseada na nuvem
O BeardShell apresenta-se como um implante moderno que tira partido do serviço legítimo de armazenamento na nuvem Icedrive para a comunicação de comando e controlo. Este consegue executar comandos PowerShell num ambiente .NET e foi utilizado em conjunto com o SlimAgent, de acordo com um relatório do CERT-UA de junho de 2025. Utiliza ainda uma técnica de ofuscação única, que já tinha sido observada no Xtunnel, uma ferramenta de movimentação na rede utilizada pelo APT28 na década de 2010.
Nos ataques recentes, o grupo russo combinou o BeardShell com uma versão fortemente modificada da estrutura Covenant. As alterações introduzidas pelos programadores incluem identificadores determinísticos ligados às características do anfitrião, um fluxo de execução modificado para contornar a deteção comportamental e novos protocolos de comunicação baseados na nuvem. Desde julho de 2025, o grupo tem utilizado o fornecedor de nuvem Filen com o Covenant, substituindo serviços anteriores como o Koofr e o pCloud.
De acordo com as informações apuradas, o Covenant é utilizado como a ferramenta principal de espionagem, enquanto o BeardShell serve como um plano de recurso. Desde 2023 que os programadores do Sednit têm feito experiências com o Covenant para o estabelecer como a sua solução primária, mantendo a alternativa pronta a intervir caso a infraestrutura na nuvem principal sofra algum bloqueio. Estas movimentações indicam que a equipa avançada de desenvolvimento do APT28 regressou à atividade em 2024, garantindo novas capacidades de atuação a longo prazo e mantendo semelhanças técnicas com as ferramentas do passado.
Nenhum comentário
Seja o primeiro!