文章总结： 俄罗斯APT28组织利用BEARDSHELL和COVENANT恶意软件监视乌克兰军方。ESET报告显示，SLIMAGENT源自XAgent并部署BEARDSHELL后门，该后门采用不透明谓词混淆技术及Icedrive云服务通信。同时，APT28深度定制COVENANT框架，滥用Filen等云存储进行隐蔽指挥。这表明该组织具备强大开发能力，并善于利用合法云服务规避检测。 综合评分： 82 文章分类： 威胁情报,恶意软件,逆向分析

APT28 使用 BEARDSHELL 和 COVENANT 恶意软件监视乌克兰军方

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月10日 19:19 北京

据观察，俄罗斯国家支持的黑客组织APT28使用名为 BEARDSHELL 和 COVENANT 的两款植入程序，对乌克兰军事人员进行长期监视。

ESET在一份与 Hacker News 分享的新报告中表示，这两个恶意软件家族自 2024 年 4 月以来就已被投入使用。

APT28，又名 Blue Athena、BlueDelta、Fancy Bear、Fighting Ursa、Forest Blizzard（原名 Strontium）、FROZENLAKE、Iron Twilight、ITG05、Pawn Storm、Sednit、Sofacy 和 TA422，是一个隶属于俄罗斯联邦军事情报机构 GRU 26165 部队的国家行为体。

该威胁行为者的恶意软件库包括 BEARDSHELL 和 COVENANT 等工具，以及另一个代号为 SLIMAGENT 的程序，该程序能够记录键盘输入、捕获屏幕截图和收集剪贴板数据。SLIMAGENT 最早由乌克兰计算机应急响应小组 (CERT-UA) 于 2025 年 6 月公开记录。

据斯洛伐克网络安全公司称，SLIMAGENT 源自XAgent，后者是 APT28 在 2010 年代用于远程控制和数据窃取的另一种植入程序。这一结论基于在 SLIMAGENT 和此前未知的样本之间发现的代码相似性，这些样本曾于 2018 年被用于攻击两个欧洲国家的政府机构。

经评估，2018 年的恶意软件样本和 2024 年的 SLIMAGENT 样本均源自 XAgent，ESET 的分析发现 SLIMAGENT 与2014 年底在野外检测到的XAgent 样本在键盘记录方面存在重叠。

ESET表示：“SLIMAGENT以HTML格式输出其间谍日志，其中应用程序名称、记录的按键和窗口名称分别用蓝色、红色和绿色显示。XAgent键盘记录器也使用相同的配色方案生成HTML日志。”

此外，SLIMAGENT 还部署了另一个名为 BEARDSHELL 的后门程序，该程序能够在受感染的主机上执行 PowerShell 命令。它使用合法的云存储服务 Icedrive 进行命令与控制 (C2) 通信。

该恶意软件的一个显著特点是它使用了一种独特的混淆技术，称为不透明谓词（opaque predicate），这种技术也出现在XTunnel（又名 X-Tunnel）中。XTunnel 是一种网络穿越和跳板工具，APT28 在 2016 年民主党全国委员会 (DNC) 黑客攻击事件中就使用了该工具。该工具提供一条通往外部 C2 服务器的安全隧道。

ESET补充道：“这种罕见的混淆技术的共同使用，再加上它与SLIMAGENT的结合，使我们有很高的信心评估认为BEARDSHELL是Sednit定制武器库的一部分。”

威胁行为者工具包的第三个主要组成部分是 COVENANT，这是一个开源的 .NET 后渗透框架，经过“大量”修改，以支持长期间谍活动，并实施了一种新的基于云的网络协议，该协议自 2025 年 7 月起滥用 Filen 云存储服务进行 C2 通信。此前，据称 APT28 的 COVENANT 变种曾使用过 pCloud（2023 年）和 Koofr（2024-2025 年）。

ESET表示：“这些改进表明，Sednit的开发人员在Covenant方面积累了丰富的专业知识——Covenant是一款官方开发已于2021年4月停止，且可能已被防御者视为已不再使用的植入程序。这一出人意料的行动选择似乎取得了成功：Sednit多年来一直成功地依赖Covenant，尤其是在针对乌克兰特定目标的攻击中。”

这并非该敌对组织首次采用双重植入策略。2021年，Trellix披露APT28曾部署Graphite（一种利用OneDrive进行C2通信的后门程序）和PowerShell Empire，攻击目标包括负责国家安全政策的高级政府官员以及西亚国防部门人员。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《APT28 使用 BEARDSHELL 和 COVENANT 恶意软件监视乌克兰军方》