Bei der weiteren Analyse zeigte sich laut ESET, dass Sednit BeardShell gemeinsam mit Covenant einsetzt – einer stark überarbeiteten Variante eines quelloffenen Implantats, das unter anderem Datenabfluss, seitliche Bewegung im Netzwerk und die Überwachung von Zielen unterstützt. Covenant sei zum bevorzugten Spionagewerkzeug der Gruppe geworden, während BeardShell eher als Ausweichlösung diene, falls ein Opfer Covenant entdecken sollte.
„Die zentrale Erkenntnis ist, dass Sednit mit erneuter Malware-Entwicklung zurückgekehrt ist und wieder ausgefeilte Cyber-Spionagekampagnen betreibt", sagt ein ESET-Forscher, der ungenannt bleiben wollte. Für Verteidiger sei entscheidend, dass die Gruppe nun eigene Implantate mit legitimen Cloud-Diensten zur Steuerung verbinde, was ihre Aktivität über klassische Netzwerküberwachung schwerer erkennbar mache. Erschwerend komme hinzu, dass zwei Implantate parallel betrieben würden, die jeweils auf einen anderen Cloud-Anbieter setzen – das Abschalten der Infrastruktur werde dadurch kompliziert. Derzeit ziele die Gruppe offenbar auf ukrainisches Militärpersonal, könne ihren Fokus aber je nach Verlauf des russischen Krieges in der Ukraine ausweiten.
Sednit ist nach Angaben US-amerikanischer und anderer Behörden mit dem Nachrichtendienst des russischen Militärs verbunden und seit 2004 aktiv. Zu den bekanntesten zugeschriebenen Kampagnen zählen die Angriffe auf das Democratic National Committee 2016, den Deutschen Bundestag 2015, die Welt-Anti-Doping-Agentur sowie zuletzt mehrere Logistik- und IT-Unternehmen. Ab etwa 2019 stellte die Gruppe aus für ESET nicht vollständig nachvollziehbaren Gründen den Einsatz solcher hochentwickelten Werkzeuge ein und verbreitete stattdessen meist einfachere Implantate über Phishing-E-Mails.
Eine Erklärung sei, dass Sednit die Entwicklung fortschrittlicher Schadsoftware nach dem russischen Einmarsch in der Ukraine wieder aufgenommen habe. „Eine andere ist, dass die Gruppe die Entwicklung nie eingestellt, sondern sich bedeckt gehalten hat und erst wieder aus dem Schatten trat, als der Krieg die Nachfrage nach Cyber-Spionage erhöhte", so der Forscher. Die gemeinsame Code-Herkunft mit älterer Sednit-Malware deute darauf hin, dass dasselbe Entwicklerteam den Werkzeugkasten über die Zeit gepflegt und weiterentwickelt habe.
BeardShell trage laut ESET „die Spuren intensiver Entwicklungsarbeit". Als Beleg nennt das Unternehmen die Einbindung von Icedrive für die C2-Kommunikation: Da Icedrive keine öffentliche Programmierschnittstelle anbietet, hätten die Angreifer den offiziellen Client zurückentwickelt, um dessen Kommunikation nachzubilden. Bei Dienständerungen, die den Zugriff stören, lieferten die Entwickler rasch Aktualisierungen nach – ein Hinweis auf ein aktives und gut ausgestattetes Team.
Covenant ist eine angepasste Variante eines quelloffenen .NET-Frameworks zur Nachverwertung (Post-Exploitation) mit mehr als 90 Funktionen für langfristige Spionage; seit 2023 nahm Sednit mehrere Änderungen daran vor. BeardShell ist dagegen ein vollständig neues Implantat, nutzt aber eine Verschleierungstechnik aus Xtunnel, einem Netzwerk-Pivoting-Werkzeug aus den 2010er-Jahren. Es sei im Kern ein PowerShell-Interpreter, mit dem die Betreiber vor allem Covenant erneut ausbringen.
Beide Implantate stützen sich auf häufig aktualisierte Ladeketten, was die Erkennung zu einem Katz-und-Maus-Spiel mache. Sednit kompromittiere seine Ziele laut dem Forscher typischerweise durch Social Engineering über Signal Desktop oder WhatsApp Desktop und überrede sie, mit Trojanern versehene Excel- oder Word-Dokumente zu öffnen; in manchen Fällen riefen die Angreifer ihre Ziele sogar an.
