Lisboa, 12 de março de 2026 – Os investigadores da ESET, a maior empresa europeia de cibersegurança, rastrearam recentemente a reativação de um dos grupos cibercriminosos mais reconhecidos da Rússia, Sednit, através do seu moderno kit de ferramentas, que se concentra em dois malwares emparelhados, BeardShell e Covenant. Cada um utiliza um fornecedor de cloud diferente para garantir a resiliência. Esta abordagem de implante duplo permitiu a vigilância a longo prazo dos militares ucranianos e está em uso desde abril de 2024. Em 2016, o Departamento de Justiça dos EUA associou o grupo Sednit à Unidade 26165 do GRU, uma agência de inteligência da Federação Russa dentro da Direção Principal de Inteligência das Forças Armadas Russas.
O relatório da ESET sobre as atividades modernas do Sednit começa com a implementação do SlimAgent, um malware de espionagem instalado secretamente e descoberto numa máquina governamental ucraniana pela CERT-UA em abril de 2024. O SlimAgent é uma ferramenta de espionagem simples, mas eficiente, capaz de registar teclas digitadas, capturar imagens de ecrã e recolher dados da área de transferência. Na sua telemetria, a ESET identificou amostras anteriormente desconhecidas com código semelhante ao SlimAgent, que foram implantadas já em 2018 — seis anos antes do caso ucraniano — contra entidades governamentais em dois países europeus. Assim, o SlimAgent parece ser uma evolução do módulo keylogger Xagent, que tem sido implantado como um componente independente desde pelo menos 2018. O Xagent é um conjunto de ferramentas personalizadas utilizado exclusivamente pelo grupo Sednit há mais de seis anos.
O SlimAgent não foi o único malware encontrado no dispositivo ucraniano em 2024; o BeardShell – uma adição muito mais recente ao arsenal personalizado do Sednit – também foi lá encontrado. O BeardShell é um malware sofisticado capaz de executar comandos PowerShell num ambiente runtime, utilizando o serviço legítimo de armazenamento cloud Icedrive como canal Command & Control (C&C). A utilização de uma técnica rara de ofuscação de código, juntamente com o facto de ter sido encontrado o mesmo sistema que o SlimAgent, leva a ESET a concluir com elevado grau de confiança que o BeardShell faz parte do arsenal personalizado do Sednit.
Desde o caso inicial em 2024, o Sednit continuou a utilizar o BeardShell nos últimos dois anos, principalmente em operações de espionagem de longo prazo, visando militares ucranianos. Para manter o acesso persistente a esses alvos de alto valor, o Sednit coloca sistematicamente outro implante junto com o BeardShell: o Covenant, o componente final do seu arsenal moderno. O Covenant é uma estrutura de pós-exploração .NET de código aberto e fornece mais de 90 tarefas integradas, oferecendo recursos como exfiltração de dados, monitorização de alvos e pivoting na rede.
Desde 2023, os programadores do Sednit fizeram várias modificações e experiências com o Covenant para estabelecê-lo como a sua principal ferramenta de espionagem, mantendo o BeardShell como um plano alternativo, caso o Covenant encontrasse problemas operacionais, como a desmoronamento da sua infraestrutura cloud. O Sednit tem contado com o Covenant há vários anos, particularmente contra alvos selecionados na Ucrânia. Por exemplo, em 2025, a análise da ESET a discos cloud controlados pelo Sednit revelaram que máquinas estavam a ser monitorizadas há mais de seis meses. Em janeiro de 2026, o Sednit também utilizou o Covenant numa série de campanhas de spearphishing, explorando a vulnerabilidade CVE-2026-21509, conforme relatado pelo CERT-UA.
A sofisticação do BeardShell e as extensas modificações feitas no Covenant demonstram que os programadores do Sednit continuam totalmente capazes de produzir ferramentas de espionagem avançadas e personalizadas.