ESET Research vient de retracer la réactivation de Sednit grâce à son arsenal moderne, articulé autour de deux implants appariés, BeardShell et Covenant, utilisant chacun un fournisseur de cloud différent afin de garantir sa résilience. Cette approche à double implant permet la surveillance à long terme de militaires ukrainiens et est utilisée depuis avril 2024. En 2016, le département de la Justice américain a établi un lien entre le groupe Sednit et l’unité 26165 du GRU, un service de renseignement de la Fédération de Russie rattaché à la Direction principale du renseignement militaire russe.

L’analyse d’ESET sur les activités récentes de Sednit débute en avril 2024 avec SlimAgent, un logiciel espion découvert par le CERT-UA sur un ordinateur du gouvernement ukrainien. SlimAgent est un outil d’espionnage simple et efficace qui enregistre les frappes au clavier, prend des captures d’écran et collecte les données du presse-papiers.

Dans sa télémétrie, ESET a identifié des échantillons jusqu’alors inconnus, dotés d’un code similaire à SlimAgent, déployés dès 2018 — soit six ans avant l’invasion de l’Ukraine — contre des gouvernements dans deux pays européens. SlimAgent serait une évolution du module enregistreur de frappe Xagent, utilisé comme composant autonome depuis au moins 2018. Xagent est un ensemble d’outils personnalisés utilisé depuis plus de six ans uniquement par le groupe Sednit.

SlimAgent n’est pas le seul implant découvert en 2024 sur la machine ukrainienne. BeardShell, un ajout plus récent à l’arsenal personnalisé de Sednit, y était également déployé. BeardShell est un implant sophistiqué capable d’exécuter des commandes PowerShell au sein d’un environnement d’exécution .NET, en utilisant le stockage cloud légitime Icedrive comme canal de commande et de contrôle. Grâce à l’utilisation conjointe d’une technique d’obfuscation rare, combinée à sa présence aux côtés de SlimAgent, ESET peut conclure avec une quasi-certitude que BeardShell fait partie de l’arsenal personnalisé de Sednit.

Depuis le cas initial de 2024, Sednit a continué à déployer BeardShell jusqu’en 2026, principalement dans le cadre d’opérations d’espionnage de longue durée visant le personnel militaire ukrainien. Afin de maintenir un accès permanent à ces cibles stratégiques, Sednit déploie systématiquement Covenant en parallèle de BeardShell, dernier implant de son arsenal actuel.

Covenant est un cadre de post-exploitation open source basé sur .NET qui propose plus de 90 tâches intégrées, offrant des fonctionnalités telles que l’exfiltration de données, la surveillance des cibles et le pivotement réseau.

Depuis 2023, les développeurs de Sednit ont apporté de nombreuses modifications et mené plusieurs expérimentations sur Covenant afin d’en faire leur principal outil d’espionnage. BeardShell est principalement utilisé comme solution de repli en cas de problèmes opérationnels avec Covenant, comme la mise hors service de son infrastructure cloud.

Depuis plusieurs années, Sednit s’appuie avec succès sur Covenant, notamment contre des cibles spécifiques en Ukraine. En 2025, l’analyse par ESET des disques cloud Covenant contrôlés par Sednit a révélé des machines surveillées depuis plus de six mois. En janvier 2026, Sednit a également déployé Covenant dans des campagnes de spear phishing exploitant la vulnérabilité CVE-2026-21509, comme l’a signalé le CERT-UA.

La sophistication de BeardShell et les modifications importantes apportées à Covenant démontrent que les développeurs de Sednit sont parfaitement capables de produire des implants personnalisés de pointe. De plus, le partage du code et des techniques reliant ces outils à ceux datant de 2010 démontre une forte continuité au sein de l’équipe de développement.

Pour une analyse plus détaillée du dernier arsenal de Sednit, consultez le nouvel article du blog ESET Research «Sednit reloaded: Back in the trenches » sur www.welivesecurity.com. Suivez également ESET Research sur Twitter (aujoud’hui X), BlueSky, pour les toutes dernières informations.