L’attribution par le Département de la Justice américain à l’unité 26165 du GRU n’a pas freiné les ardeurs de Sednit. Au contraire, le groupe a modernisé sa chaîne d’attaque. Le dernier rapport d’ESET Research détaille une infrastructure hybride mêlant outils customisés et frameworks de post-exploitation « Open Source » modifiés.
De Xagent à SlimAgent : l’évolution du Keylogging
La compromis initiale, souvent initiée par des campagnes de spear-phishing, s’appuie désormais sur SlimAgent. Ce module est le descendant direct de Xagent, un outil propriétaire utilisé par Sednit depuis plus de six ans.
Techniquement, SlimAgent opère comme un agent de reconnaissance initial :
- Capacités : Keylogging, exfiltration du presse-papiers et captures d’écran.
- Évolutivité : Bien que simple, sa télémétrie montre des similitudes de code avec des échantillons identifiés dès 2018 en Europe, confirmant une maintenance logicielle continue par les développeurs du GRU.
BeardShell : L’implant .NET furtif via le Cloud
La véritable innovation réside dans BeardShell. Cet implant avancé a été conçu pour s’exécuter au sein d’un environnement .NET. Sa particularité réside dans son protocole de commande et contrôle (C2) : au lieu d’utiliser des serveurs dédiés facilement identifiables, il exploite l’API du service de stockage cloud Icedrive.
Cette technique de « Living off Trusted Services » (LoTS) permet à Sednit de masquer ses communications malveillantes au sein du trafic HTTPS légitime de l’entreprise. L’utilisation d’une obfuscation personnalisée et non conventionnelle a permis à cet outil de rester sous les radars des solutions EDR (Endpoint Detection and Response) jusqu’à son analyse par les équipes d’ESET.
Covenant et l’exploitation de la CVE-2026-21509
Depuis 2023, Sednit a pivoté vers l’utilisation de Covenant, un framework de post-exploitation .NET puissant. Les chercheurs d’ESET ont observé que le groupe ne se contente pas d’utiliser la version standard ; ils ont réécrit des parties critiques du code pour y intégrer de nouveaux protocoles réseau.
En janvier 2026, l’arsenal a été couplé à l’exploitation de la vulnérabilité CVE-2026-21509. Ce vecteur a permis de déployer Covenant comme implant principal, tandis que BeardShell servait de mécanisme de redondance. Si l’infrastructure cloud de Covenant est démantelée, BeardShell permet aux opérateurs de reprendre la main sur la machine infectée, assurant une persistance qui peut dépasser les six mois, comme l’ont prouvé les analyses forensiques sur des disques cloud contrôlés par le groupe.
Perspectives Forensiques
La continuité du code observée par ESET depuis 2010 souligne une expertise technique accumulée. Pour les professionnels de la sécurité, le cas Sednit démontre que la menace ne réside plus seulement dans le « malware » lui-même, mais dans la capacité des attaquants à détourner des outils légitimes et des frameworks collaboratifs pour orchestrer des opérations d’espionnage d’État.
Pour une analyse détaillée de l’arsenal récent de Sednit, consultez l’article de blog d’ESET Research intitule « Sednit rechargé : De retour dans les tranchées” sur WeLiveSecurity.com.
. Comment le groupe détourne les frameworks .NET et le stockage cloud pour infiltrer les réseaux ukrainiens.){kind=link}