Die russische Hackergruppe APT28, die auch unter den Namen Fancy Bear, Forest Blizzard, Strontium und Sednit bekannt ist, setzt verstärkt auf eine maßgeschneiderte Version des Open-Source-Frameworks Covenant für ihre Spionagekampagnen. Wie Sicherheitsforscher von ESET herausgefunden haben, wurde dieses Tool seit April 2024 in Kombination mit anderen Malware-Varianten gegen ukrainische Ziele eingesetzt.
APT28 ist für die Entwicklung hochmoderner Schadsoftware berüchtigt und hat in der Vergangenheit prominente Ziele wie das Parlament in Deutschland, mehrere französische Organisationen und NATO-Staaten angegriffen.
Für ihre jüngsten Operationen nutzte die Gruppe zwei Implants: BeardShell und eine angepasste Version von Covenant. Dieser Zwei-Implant-Ansatz ermöglichte eine langfristige Überwachung von ukrainischem Militärpersonal. Die Malware wurde eingesetzt, um zentrale ukrainische Behörden anzugreifen – dabei nutzte die Gruppe die Sicherheitslücke CVE-2026-21509 in Microsoft Office aus, die über präparierte DOC-Dateien exploitiert wurde.
Die Forscher stießen auf diese Malware-Familien, nachdem sie SlimAgent entdeckten – einen Keylogging-Implant, der in einem ukrainischen Regierungssystem installiert wurde und Tastatureingaben, Zwischenablage-Inhalte und Bildschirmfotos erfasst.
BeardShell ist ein modernes Implant, das den Cloud-Storage-Service Icedrive für Command-and-Control-Kommunikation nutzt. Es kann PowerShell-Befehle in einer .NET-Umgebung ausführen. ESET entdeckte auch, dass BeardShell eine Verschleierungstechnik verwendet, die zuvor in Xtunnel – einem Netzwerk-Pivoting-Tool aus den 2010er Jahren – zu sehen war.
Die modifizierte Covenant-Variante zeigt erhebliche Veränderungen gegenüber dem Original: Deterministische Implant-Identifizierer, die an Host-Charakteristiken gebunden sind, modifizierte Ausführungsabläufe zur Umgehung von Verhaltensanalysen und neue Cloud-basierte Kommunikationsprotokolle. Seit Juli 2025 nutzt die Gruppe den Cloud-Provider Filen mit Covenant – zuvor kamen Koofr und pCloud zum Einsatz.
Covenants Rolle ist dabei die des primären Implants, während BeardShell als Fallback-Lösung fungiert. Sollte Covenants Cloud-Infrastruktur ausfallen oder vom Netz genommen werden, kann die Gruppe auf BeardShell ausweichen.
Eset geht davon aus, dass APT28s fortgeschrittenes Malware-Entwicklungsteam 2024 wieder aktiv wurde. Die technischen Parallelen zu Malware aus den 2010er Jahren deuten auf eine Kontinuität in der Zusammensetzung des Entwicklerteams hin. Dies zeigt, dass die Gruppe ihre Spionagefähigkeiten gezielt erweitert hat und dabei bewährte Techniken mit modernen Methoden kombiniert.