Die mit APT28 bezeichnete russische Hackergruppe der Militärgeheimdienste (GRU) führt eine umfassende Überwachungskampagne gegen die ukrainische Armee durch. Das slowakische Cybersicherheitsunternehmen ESET hat in einem neuen Bericht zwei hauptsächlich eingesetzte Malware-Familien dokumentiert: BEARDSHELL und COVENANT.
APT28, unter zahlreichen Decknamen wie Fancy Bear, Sofacy oder Sednit bekannt, ist eine Unit 26165 der russischen Militärgeheimdienste zugeordnete Hackergruppe mit einer umfangreichen Malware-Bibliothek. Zu ihrem Arsenal gehört auch SLIMAGENT, ein Spionage-Tool, das Tastatureingaben protokolliert, Screenshots erstellt und Zwischenablagedaten stiehlt. Das CERT-UA dokumentierte SLIMAGENT erstmals im Juni 2025.
ESET konnte nachweisen, dass SLIMAGENT auf XAgent zurückgeht, einem Implantat aus den 2010er Jahren. Codeanalysen zeigen starke Ähnlichkeiten zwischen SLIMAGENT und unbekannten Samples, die bereits 2018 gegen Regierungsbehörden in zwei europäischen Ländern eingesetzt wurden. Besonders aufschlussreich ist die identische Farbcodierung bei der Protokollierung von Tastatureingaben in HTML-Format: SLIMAGENT und ein XAgent-Sample von 2014 verwenden beide das gleiche Schema – blaue Anwendungsnamen, rote Tastenanschläge und grüne Fenstertitel.
BEARDSHELL fungiert als spezialisiertes Backdoor-Programm zur Ausführung von PowerShell-Befehlen auf kompromittierten Systemen. Charakteristisch ist die Nutzung des Cloud-Speichers Icedrive für die Kommunikation mit Kommandozentralen. Das Malware-Programm arbeitet mit einer seltenen Verschleierungstechnik – sogenannte Opaque Predicates – die auch in XTunnel nachgewiesen wurde, einem Netzwerk-Traversal-Tool, das APT28 bereits beim Hackerangriff auf das DNC 2016 einsetzte.
Das dritte Kernstück des Arsenal ist COVENANT, ein modifiziertes Open-Source-.NET-Post-Exploitation-Framework. APT28 hat die Software erheblich umgestaltet, um langfristige Spionage zu unterstützen und nutzt seit Juli 2025 den Cloud-Speicherdienst Filen für die Kommandokommunikation. In den Vorjahren setzte die Gruppe pCloud (2023) und Koofr (2024-2025) ein.
Die Anpassungen offenbaren tiefgreifende technische Expertise: COVENANT wurde 2021 eingestellt, weshalb Verteidiger das Tool möglicherweise als obsolet betrachteten – eine Fehleinschätzung, die sich für APT28 als großer taktischer Vorteil erwies. Seit Jahren setzt die Gruppe COVENANT erfolgreich gegen ausgewählte ukrainische Ziele ein.
Diese Dual-Implantat-Strategie ist nicht neu für APT28. 2021 zeigte Trellix, dass die Gruppe Graphite-Backdoors mit OneDrive-C2-Kommunikation und PowerShell Empire parallel in Angriffen gegen hochrangige Sicherheitspolitiker und Rüstungssektor-Vertreter in Westasien nutzte.