• ESET Research heeft de reactivering van Sednit’s belangrijke implantatieteam getraceerd tot een zaak in Oekraïne uit 2024, waar keylogger SlimAgent werd ingezet.
• Tijdens die actie werd BeardShell, een tweede door Sednit ontwikkeld implantaat, ingezet.
• In 2025 en 2026 werd BeardShell herhaaldelijk door Sednit ingezet, samen met Covenant, een derde belangrijk onderdeel van hun moderne toolkit.
• Sednit heeft open-source implantaat ingrijpend aangepast voor langdurige spionage enz.
10 maart 2026 — ESET Research heeft onlangs de reactivering van Sednit in kaart gebracht met behulp van diens moderne toolkit, gebaseerd op BeardShell en Covenant, twee gekoppelde implantaten die elk een andere cloudprovider gebruiken om weerstand te bieden. Met deze twee implantaten, sinds april 2024 in gebruik, werd langdurige monitoring van Oekraïens militair personeel mogelijk. In 2016 legde het US ministerie van Justitie een verband tussen de Sednit-groep en Eenheid 26165 van de GRU, een inlichtingendienst van de Russische Federatie binnen de Hoofddirectie Inlichtingen van het Russische leger.
Het rapport van ESET over Sednit’s actuele activiteiten begint met SlimAgent, een spionage-implantaat dat in april 2024 door CERT-UA werd ontdekt op een computer van de Oekraïense overheid. SlimAgent is een eenvoudige en efficiënte spionagetool die toetsaanslagen registreert, schermafbeeldingen maakt en klembordgegevens verzamelt. In zijn telemetrie identificeerde ESET voorheen onbekende stalen met code, vergelijkbaar met SlimAgent, die al in 2018 – zes jaar vóór de inval in Oekraïne – werden gebruikt tegen overheidsinstanties in twee Europese landen. SlimAgent zou een evolutie zijn van de Xagent-keyloggermodule, die al sinds 2018 als zelfstandige component gebruikt wordt. Xagent, een op maat gemaakte toolset, wordt dus al meer dan zes jaar exclusief door de Sednit-groep gebruikt.
SlimAgent was niet het enige implantaat dat in 2024 op de Oekraïense machine werd gevonden. BeardShell, veel recenter toegevoegd aan Sednits arsenaal van malware, stond er ook op. BeardShell is een geavanceerd implantaat, in staat om PowerShell-opdrachten uit te voeren binnen een .NET-runtime-omgeving. Daarbij gebruikt het de legitieme cloudopslagservice Icedrive als Command & Control-kanaal. Door het gedeelde gebruik van een zeldzame technische obfuscatie, in combinatie met de aanwezigheid van SlimAgent, concludeert ESET met grote zekerheid dat BeardShell deel uitmaakt van Sednit’s arsenaal van aangepaste malware.
Sinds de eerste aanval in 2024 heeft Sednit BeardShell in 2025 en 2026 continu ingezet, vooral bij langdurige spionageoperaties gericht op Oekraïens militair personeel. Om doorlopend toegang te behouden tot deze belangrijke doelwitten, zet Sednit systematisch naast BeardShell nog Covenant in, een ander implantaat, het nieuwste onderdeel van hun arsenaal. Covenant is een open-source .NET-framework voor post-exploitatie en biedt meer dan 90 ingebouwde taken. Deze ondersteunen data-exfiltratie, doelwitbewaking en netwerkmanipulatie.
Sinds 2023 deden de Sednit-ontwikkelaars een aantal aanpassingen met Covenant alsook experimenten om er hun primaire spionage-implantaat van te maken. BeardShell wordt vooral als back-up gebruikt mocht Covenant operationele problemen ondervinden, zoals het uitvallen van de cloudinfrastructuur. Sednit heeft Covenant jarenlang succesvol ingezet, vooral tegen geselecteerde Oekraïnse doelwitten. Dit bleek uit ESET’s analyse van door Sednit beheerde Covenant-cloudservers, die in 2025 al meer dan zes maanden machines gemonitord had. In januari 2026 zette Sednit Covenant in voor een reeks spearphishingcampagnes die de CVE 2026 21509-kwetsbaarheid misbruikten, zoals gerapporteerd door CERT UA.
Het sofisticatieniveau van BeardShell en de uitgebreide aanpassingen aan Covenant laten zien dat de ontwikkelaars van Sednit nog helemaal in staat zijn om geavanceerde, op maat gemaakte implantaten te produceren. De gedeelde code en technieken die deze tools aan hun voorgangers uit 2010 linken, wijzen op een sterke continuïteit binnen het ontwikkelingsteam.
Voor een meer gedetailleerde analyse van Sednit’s nieuwste wapenarsenaal, lees Sednit reloaded: Back in the trenches, de nieuwste blog van ESET Research op www.WeLiveSecurity.com . Volg ook
ESET Research op Twitter (today known as X), BlueSky, en Mastodon voor de nieuwste info.
Over ESET
ESET® biedt geavanceerde cybersecurity om aanvallen te voorkomen nog voor deze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET opkomende wereldwijde cyberbedreigingen voor, zowel bekende als onbekende, en beveiligt het bedrijven, kritieke infrastructuur en individuen. Of het nu gaat het om endpoint-, cloud- of mobiele beveiliging, zijn ESET’s AI-native, cloud-first oplossingen en services zeer efficiënt en gebruiksvriendelijk. ESET-technologie omvat robuuste detectie en respons, ultraveilige encryptie en multi-factor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houdt ESET de gebruikers veilig en bedrijven draaiende en dit zonder onderbreking. Het constant veranderende digitale landschap vraagt om een progressieve benadering van de beveiliging. ESET zet zich in met onderzoek van wereldniveau en krachtige threat intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Bezoek voor meer informatie of www.eset.com of https://www.est.com/be-nl/,volg onze sociale media, podcasts en blogs.
Meer lezen