Sednit renforce ses outils d’espionnage et cible à nouveau l’Ukraine. Le groupe s’appuie sur des implants avancés pour maintenir un accès durable aux systèmes visés.
Le groupe Sednit refait surface avec des outils nettement améliorés. Les chercheurs d’ESET décrivent une activité soutenue, portée par deux implants capables de maintenir un accès durable aux systèmes ciblés. Cette évolution technique figure dans une série d’opérations dirigées contre des profils militaires ukrainiens, avec une discrétion accrue et des méthodes affinées.
Une boîte à outils revue pour durer
Les analyses d’ESET révèlent une stratégie qui repose sur deux implants distincts. BeardShell et Covenant fonctionnent de pair, chacun s’appuie sur un service cloud différent. Ce choix limite les risques de perte d’accès en cas de blocage d’une infrastructure.
Cette combinaison permet au groupe de conserver une présence prolongée sur les machines infectées. Les premières traces remontent à avril 2024, avec des cibles liées aux forces ukrainiennes. Les autorités américaines attribuent depuis plusieurs années Sednit à une unité du renseignement militaire russe, connue sous le nom d’unité 26165.
Des outils hérités et perfectionnés
L’enquête débute avec SlimAgent, un programme espion repéré sur un système gouvernemental ukrainien. Ce logiciel capture les frappes clavier, les contenus copiés et des images de l’écran. Son code rappelle des versions plus anciennes observées dès 2018 en Europe.
SlimAgent prolonge ainsi les fonctions du module Xagent, utilisé depuis plusieurs années par Sednit. Cette continuité technique montre une évolution progressive plutôt qu’une rupture. Le groupe conserve ses bases et améliore ses capacités.
BeardShell et Covenant, duo central des opérations
Sur la machine étudiée en 2024, les chercheurs ont aussi identifié BeardShell. Cet implant exécute des commandes PowerShell via un environnement .NET et communique à travers Icedrive. Ce canal, fondé sur un service légitime, renforce la discrétion des échanges.
Depuis 2025, BeardShell accompagne régulièrement Covenant, un framework de post-exploitation très complet. Les développeurs de Sednit ont adapté cet outil open source afin de répondre à leurs besoins. Il permet la collecte de données, la surveillance des systèmes et des déplacements internes au réseau.
En cas de défaillance de Covenant, BeardShell prend le relais. Cette logique assure une continuité d’accès aux cibles. Des observations menées en 2025 montrent des systèmes surveillés durant plus de six mois. Début 2026, plusieurs campagnes ont aussi exploité une faille récente pour diffuser Covenant. Les modifications apportées à ces outils témoignent d’un savoir-faire durable. Les similarités avec des codes plus anciens suggèrent une équipe stable, active depuis plus d’une décennie.
Article basé sur un communiqué de presse reçu par la rédaction.
![[VIDÉO] Votre ex vous surveille encore ? Voici comment le savoir et sécuriser votre appareil](https://www.cyber-securite.fr/wp-content/uploads//2026/02/votre-ex-vous-espionne-768x432.webp)
