BeardShell ist nach Darstellung von ESET ein modernes Implantat, das den legitimen Cloud-Speicherdienst Icedrive für die Command-and-Control-Kommunikation (C2) nutzt. Es kann PowerShell-Befehle in einer .NET-Laufzeitumgebung ausführen und wurde gemeinsam mit SlimAgent eingesetzt – das geht aus einem Bericht von CERT-UA aus dem Juni 2025 hervor.

ESET stellte fest, dass BeardShell zudem eine eigene Verschleierungstechnik verwendet, die zuvor in Xtunnel beobachtet wurde, einem Werkzeug zum Pivoting in Netzwerken, das APT28 in den 2010er-Jahren einsetzte.

Bei den jüngsten Angriffen kombinierte die Gruppe BeardShell mit einer stark veränderten Fassung des quelloffenen .NET-Post-Exploitation-Frameworks Covenant. Zu den eingeführten Änderungen zählen deterministische Implantat-Kennungen, die an Merkmale des jeweiligen Hosts gebunden sind, ein angepasster Ausführungsablauf zur Umgehung verhaltensbasierter Erkennung sowie neue cloudbasierte Kommunikationsprotokolle.

Seit Juli 2025 verwendet der Akteur den Cloud-Anbieter Filen in Verbindung mit Covenant. Zuvor griff er auf die Dienste Koofr und pCloud zurück.

Nach Einschätzung von ESET dient Covenant als primäres Implantat, während BeardShell als Ausweichwerkzeug fungiert. “Seit 2023 haben die Sednit-Entwickler eine Reihe von Modifikationen und Experimenten an Covenant vorgenommen, um es als ihr primäres Spionageimplantat zu etablieren, und behalten BeardShell hauptsächlich als Rückfalloption für den Fall, dass Covenant auf betriebliche Probleme stößt – etwa die Abschaltung seiner cloudbasierten Infrastruktur”, so ESET.

Die Forscher gehen davon aus, dass das auf hochentwickelte Schadsoftware spezialisierte Entwicklerteam von APT28 im Jahr 2024 wieder aktiv wurde und der Gruppe damit neue Fähigkeiten für langfristige Spionage verschafft hat. Die technischen Ähnlichkeiten zu Schadsoftware aus den 2010er-Jahren deuten nach Einschätzung von ESET auf eine personelle Kontinuität im Entwicklerteam der Gruppe hin.