Nach der Analyse von ESET hat SLIMAGENT seine Wurzeln in XAgent, einem Implantat, das APT28 bereits in den 2010er-Jahren zur Fernsteuerung und zum Abfluss von Daten verwendete. Die Zuordnung stützt sich auf Code-Ähnlichkeiten zwischen SLIMAGENT und bislang unbekannten Proben, die bei Angriffen auf Regierungseinrichtungen in zwei europäischen Ländern bereits 2018 eingesetzt wurden. ESET geht davon aus, dass sowohl die Artefakte von 2018 als auch die SLIMAGENT-Probe von 2024 von XAgent abstammen, und fand Überschneidungen beim Mitschneiden von Tastatureingaben mit einer XAgent-Probe, die Ende 2014 beobachtet wurde.
Ein auffälliges Detail: “SLIMAGENT gibt seine Spionageprotokolle im HTML-Format aus, wobei der Anwendungsname, die protokollierten Tastatureingaben und der Fenstername in Blau, Rot beziehungsweise Grün dargestellt werden”, so ESET. Der XAgent-Keylogger erzeuge HTML-Protokolle mit demselben Farbschema.
Gemeinsam mit SLIMAGENT kommt die Backdoor BEARDSHELL zum Einsatz, die PowerShell-Befehle auf kompromittierten Systemen ausführen kann. Für die Steuerung (Command-and-Control, C2) missbraucht sie den legitimen Cloud-Speicherdienst Icedrive. Bemerkenswert ist eine seltene Verschleierungstechnik, das sogenannte Opaque Predicate, die sich auch in XTunnel findet – einem Werkzeug zur Netzwerk- und Pivoting-Navigation, das APT28 beim DNC-Hack 2016 verwendete. Aus der Kombination dieser seltenen Technik und der gemeinsamen Verbreitung mit SLIMAGENT schließt ESET mit hoher Zuversicht, dass BEARDSHELL Teil des maßgeschneiderten Arsenals von Sednit ist.
Der dritte zentrale Baustein ist COVENANT, ein quelloffenes .NET-Framework für die Phase nach der Erstkompromittierung. Es wurde laut ESET “stark” modifiziert, um langfristige Spionage zu unterstützen, und nutzt seit Juli 2025 ein neues cloudbasiertes Netzwerkprotokoll, das den Cloud-Dienst Filen für C2 missbraucht. Frühere COVENANT-Varianten von APT28 sollen 2023 pCloud und 2024 bis 2025 Koofr verwendet haben.
“Diese Anpassungen zeigen, dass die Sednit-Entwickler tiefes Fachwissen zu Covenant erworben haben – einem Implantat, dessen offizielle Entwicklung im April 2021 eingestellt wurde und das von Verteidigern womöglich als ungenutzt eingestuft wurde”, erklärte ESET. Diese überraschende operative Entscheidung habe sich ausgezahlt: Sednit habe sich über mehrere Jahre erfolgreich auf Covenant gestützt, insbesondere gegen ausgewählte Ziele in der Ukraine.
Die Doppelstrategie aus zwei Implantaten ist für die Gruppe nicht neu. Trellix hatte 2021 offengelegt, dass APT28 die Backdoor Graphite, die OneDrive für C2 nutzte, gemeinsam mit PowerShell Empire einsetzte – bei Angriffen auf hochrangige Regierungsvertreter mit Zuständigkeit für nationale Sicherheitspolitik sowie auf Personen aus dem Verteidigungssektor in Westasien.
