ESET Research : Sednit modernise ses outils et cible à nouveau l’Ukraine
- Les chercheurs d’ESET ont identifié la réactivation de la capacité du Sednit à produire des implants avancés.
- Au cours de l’opération observée, un second implant développé par Sednit, BeardShell, a également été découvert.
- Entre 2025 et 2026, Sednit a déployé à plusieurs reprises BeardShell aux côtés de Covenant, un autre composant clé de son arsenal.
- Le groupe a profondément modifié ce framework open source afin de l’adapter à des opérations d’espionnage persistante et d’y intégrer un nouveau protocole réseau reposant sur un fournisseur cloud légitime.
Les laboratoires d’ESET ont récemment mis en évidence la reprise d’activité du groupe Sednit qui s’appuie désormais sur une boîte à outils modernisée. Celle-ci comporte deux implants complémentaires, BeardShell et Covenant, chacun utilisant un fournisseur cloud distinct afin d’assurer leur résilience. Cette stratégie à double implant a permis au groupe de maintenir une surveillance prolongée de personnels militaires ukrainiens et serait active depuis avril 2024. Le département de la Justice des États-Unis, dès 2016, avait attribué les activités de Sednit à l’unité 26165 du GRU, un service de renseignement de la Fédération de Russie rattaché à la Direction principale du renseignement de l’armée russe.
L’analyse d’ESET sur les activités de Sednit débute avec SlimAgent, un implant d’espionnage découvert par le CERT-UA en avril 2024 sur une machine appartenant à une entité gouvernementale ukrainienne. Cet outil, relativement simple mais efficace, permet l’enregistrement des frappes clavier, la capture d’écrans et la collecte des données du presse-papiers. Grâce à sa télémétrie, ESET a également identifié des échantillons inconnus présentant un code proche de SlimAgent, utilisés dès 2018, soit six ans avant l’incident ukrainien, contre des entités gouvernementales dans deux pays européens. SlimAgent apparaît ainsi comme une évolution du module keylogger Xagent, déployé comme composant autonome depuis au moins 2018. Xagent constitue un ensemble d’outils personnalisé utilisé exclusivement par Sednit depuis plus de six ans.
SlimAgent n’était toutefois pas le seul implant présent sur la machine compromise en 2024. Les chercheurs ont également identifié BeardShell, un outil plus récent de l’arsenal de Sednit. Cet implant avancé permet d’exécuter des commandes PowerShell dans un environnement d’exécution.NET et utilise le service de stockage cloud légitime Icedrive comme canal de commande et contrôle (C2). L’emploi d’une technique d’obfuscation peu commune, combiné à la présence simultanée de SlimAgent sur la machine compromise, permet à ESET d’attribuer avec un niveau de confiance élevé BeardShell à l’arsenal développé par Sednit.
Depuis la découverte initiale en 2024, Sednit a poursuivi le déploiement de BeardShell en 2025 et 2026, principalement dans le cadre d’opérations d’espionnage à long terme visant des personnels militaires ukrainiens. Afin de garantir un accès persistant à ces cibles à forte valeur, le groupe déploie systématiquement un second implant en parallèle : Covenant. Le composant le plus récent de son arsenal. Covenant est un framework open source.NET de post-exploitation intégrant plus de 90 tâches prédéfinies, permettant notamment l’exfiltration de données, la surveillance des systèmes compromis ou encore le pivot au sein du réseau.
Depuis 2023, les développeurs de Sednit ont apporté plusieurs modifications et mené diverses expérimentations autour de Covenant afin d’en faire leur principal implant d’espionnage. Dans ce schéma, BeardShell semble désormais jouer un rôle de solution de secours, notamment en cas de défaillance opérationnelle de Covenant, par exemple liée à la suppression de son infrastructure cloud. Sednit exploite efficacement Covenant depuis plusieurs années contre des cibles sélectionnées en Ukraine. Ainsi, en 2025, l’analyse par ESET de disques cloud contrôlés par Sednit a mis en évidence des machines compromises surveillées depuis plus de six mois. En janvier 2026, le groupe a également utilisé Covenant dans plusieurs campagnes de spear-phishing exploitant la vulnérabilité CVE-2026-21509, comme l’a signalé le CERT-UA.
Le niveau de sophistication de BeardShell ainsi que les modifications substantielles apportées à Covenant illustrent la capacité persistante des développeurs de Sednit à produire des implants personnalisés avancés. Par ailleurs, les similitudes de code et de techniques reliant ces outils à leurs prédécesseurs datant de 2010 suggèrent fortement une continuité au sein de l’équipe de développement du groupe.
Pour une analyse détaillée de l’arsenal récent de Sednit, consultez l’article de blog d’ESET Research intitule "Sednit rechargé : De retour dans les tranchées” sur WeLiveSecurity.com.
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.