Analitycy ESET powiązali ponowną aktywność wyspecjalizowanego zespołu grupy Sednit z operacją przeprowadzoną w Ukrainie w 2024 roku, podczas której wykorzystano keylogger o nazwie SlimAgent. Podczas tej samej operacji wykorzystano również BeardShell – drugie z autorskich narzędzi szpiegowskich opracowanych przez grupę Sednit. W 2025 i 2026 roku grupa Sednit wielokrotnie wykorzystywała BeardShell w połączeniu z frameworkiem Covenant, stanowiącym trzeci kluczowy element ich nowoczesnego zestawu narzędzi. Grupa Sednit gruntownie przebudowała to opensourcowe narzędzie, aby dostosować je do długofalowych operacji szpiegowskich i zaimplementować nowy protokół, wykorzystujący infrastrukturę popularnych dostawców chmurowych.
Analitycy ESET prześledzili proces reaktywacji grupy Sednit, analizując ich nowoczesny zestaw narzędzi oparty na dwóch współpracujących ze sobą komponentach: BeardShell oraz Covenant. Strategia wykorzystania dwóch odrębnych narzędzi, z których każde komunikuje się z infrastrukturą innego dostawcy chmurowego w celu zwiększenia odporności na wykrycie, umożliwiła prowadzenie długofalowej inwigilacji ukraińskiego personelu wojskowego. Operacja ta trwa nieprzerwanie od kwietnia 2024 roku. Warto przypomnieć, że już w 2016 roku Departament Sprawiedliwości USA powiązał grupę Sednit z jednostką 26165 rosyjskiego wywiadu wojskowego GRU, podlegającego pod Główny Zarząd Wywiadowczy Federacji Rosyjskiej.
Analiza bieżących operacji grupy Sednit rozpoczyna się od narzędzia SlimAgent – komponentu szpiegowskiego wykrytego w kwietniu 2024 roku przez CERT-UA na komputerze jednej z ukraińskich instytucji rządowych. SlimAgent to proste, lecz skuteczne narzędzie, zdolne do rejestrowania uderzeń klawiszy, wykonywania zrzutów ekranu oraz przejmowania zawartości schowka. Dzięki analizie telemetrii firma ESET zidentyfikowała nieznane wcześniej próbki o kodzie zbliżonym do SlimAgenta, które wykorzystywano już w 2018 roku przeciwko organom rządowym w dwóch krajach europejskich. SlimAgent stanowi najprawdopodobniej ewolucję modułu keyloggera Xagent, który od co najmniej sześciu lat jest wdrażany jako samodzielny komponent. Xagent jest autorskim rozwiązaniem, używanym wyłącznie przez grupę Sednit.
SlimAgent nie był jedynym narzędziem wykrytym na zainfekowanym komputerze w 2024 roku; zidentyfikowano tam również BeardShell – znacznie nowszy element autorskiego arsenału grupy Sednit. Jest to zaawansowany komponent zdolny do wykonywania poleceń PowerShell w środowisku wykonawczym .NET, który jako kanał komunikacji z serwerem C2 (Command & Control) wykorzystuje popularną usługę chmurową Icedrive. Wykorzystanie rzadkiej techniki zaciemniania kodu oraz fakt, że BeardShell występował bezpośrednio obok narzędzia SlimAgent, pozwoliły ekspertom ESET z wysokim stopniem pewności przypisać to rozwiązanie grupie Sednit.
Od czasu wykrycia pierwszego incydentu w 2024 roku, grupa Sednit kontynuowała wykorzystywanie narzędzia BeardShell w latach 2025 i 2026, koncentrując się na długofalowych operacjach szpiegowskich wymierzonych w ukraiński personel wojskowy. Aby utrzymać stały dostęp do celów o wysokim znaczeniu, napastnicy systematycznie wdrażają obok BeardShell drugie rozwiązanie: Covenant – ostatni kluczowy element ich obecnego arsenału. Covenant to opensourcowy framework typu post-exploitation oparty na technologii .NET, który oferuje ponad 90 wbudowanych zadań. Zapewnia on szeroki wachlarz możliwości, takich jak eksfiltracja danych, monitorowanie zainfekowanych stacji oraz pivoting, czyli przemieszczanie się wewnątrz sieci ofiary.
Od 2023 roku deweloperzy grupy Sednit wprowadzili szereg modyfikacji i eksperymentów w obrębie Covenanta, dążąc do uczynienia z niego swojego głównego narzędzia szpiegowskiego. W tym modelu operacyjnym BeardShell pełni przede wszystkim rolę zapasową, wykorzystywaną w przypadku problemów technicznych, takich jak zablokowanie infrastruktury chmurowej Covenanta. Grupa z powodzeniem korzysta z tego rozwiązania od kilku lat, szczególnie w operacjach przeciwko wybranym celom w Ukrainie. Dowodem na skuteczność tej strategii jest analiza dysków chmurowych kontrolowanych przez grupę Sednit w 2025 roku, która ujawniła systemy monitorowane nieprzerwanie przez ponad sześć miesięcy. Ponadto w styczniu 2026 roku Sednit wykorzystał Covenant w serii kampanii spearphishingowych, eksploatujących podatność CVE-2026-21509, co zostało odnotowane w raportach CERT-UA.
Stopień zaawansowania narzędzia BeardShell oraz zakres modyfikacji wprowadzonych w frameworku Covenant dowodzą, że deweloperzy grupy Sednit wciąż dysponują pełnymi zdolnościami do tworzenia zaawansowanego, autorskiego oprogramowania szpiegowskiego. Co więcej, wspólne fragmenty kodu oraz techniki łączące te narzędzia z ich poprzednikami z okolic 2010 roku wyraźnie sugerują ciągłość kadrową w zespole odpowiedzialnym za rozwój narzędzi grupy.