Seis meses "de visita" en redes militares: el grupo Sednit bate récords de sigilo

El grupo Sednit, conocido por una serie de sonadas operaciones de ciberespionaje en años pasados, vuelve a emplear activamente herramientas complejas de vigilancia. El análisis de la nueva campaña mostró que el equipo de desarrolladores de software malicioso ha regresado a la creación de herramientas avanzadas y utiliza un conjunto actualizado de medios para la vigilancia prolongada de estructuras militares extranjeras.

Especialistas de la empresa ESET registraron la reanudación de la actividad de Sednit desde abril de 2024. En uno de los ataques contra sistemas gubernamentales de Oriente Medio se detectó el módulo espía SlimAgent. El programa registra pulsaciones de teclas, toma capturas de pantalla y recopila datos del portapapeles. El análisis del código mostró una conexión directa con la herramienta Xagent — la puerta trasera clave de Sednit que fue empleada activamente en la década de 2010.

La telemetría de ESET identificó muestras similares de código malicioso utilizadas ya en 2018 contra estructuras estatales en dos países europeos. SlimAgent mantuvo una lógica de recopilación de datos y una estructura de funcionamiento casi idénticas, aunque recibió nuevas funciones, incluida la encriptación de los registros. Según los analistas, todas las versiones fueron creadas sobre la base de un mismo código, derivado del módulo de registro de pulsaciones Xagent.

En la misma campaña de 2024, los especialistas detectaron otro instrumento — BeardShell. El programa ejecuta comandos PowerShell y utiliza el almacenamiento en la nube Icedrive como canal de control. Los desarrolladores incorporaron un mecanismo que simula las solicitudes del cliente oficial del servicio. Cuando cambia la interfaz interna de Icedrive, las actualizaciones del programa malicioso aparecían en pocas horas, lo que indica la labor activa del equipo de desarrolladores.

En el código de BeardShell se detectó una técnica rara de ofuscación de cálculos, ya observada antes en la herramienta Xtunnel — un módulo de red de Sednit de mediados de los años 2010. La coincidencia del algoritmo y de la estructura del código supuso una confirmación adicional de la relación del nuevo instrumento con el mismo equipo de desarrollo.

Desde 2025, Sednit casi siempre utiliza BeardShell junto con otro componente — una versión modificada del framework de código abierto Covenant. Inicialmente Covenant servía como herramienta de postexplotación; sin embargo, los desarrolladores de Sednit modificaron considerablemente la plataforma para operaciones de espionaje a largo plazo. Por ejemplo, alteraron el mecanismo de identificación de máquinas infectadas para que un mismo equipo conserve un identificador permanente tras los reinicios.

Los desarrolladores también añadieron nuevos protocolos de red que permiten controlar sistemas infectados a través de servicios en la nube. Primero se utilizó pCloud, luego Koofr, y desde mediados de 2025 — Filen. Esta infraestructura permite mantener el control sobre los sistemas incluso si se bloquea parte de los servidores de control.

Los analistas señalan que Sednit emplea simultáneamente dos componentes maliciosos. Ese esquema ayuda a recuperar rápidamente el acceso al sistema si un canal de control deja de estar disponible. La vigilancia de algunos equipos infectados se prolongó más de seis meses.

Sednit opera al menos desde 2004 y es conocida también por los nombres APT28, Fancy Bear, Forest Blizzard y Sofacy. Entre operaciones pasadas — el ataque al Comité Nacional del Partido Demócrata de EE. UU. antes de las elecciones de 2016, el hackeo del canal francés TV5Monde y el compromiso del correo electrónico de la Agencia Mundial Antidopaje.

El nuevo informe muestra que el equipo de desarrolladores de Sednit vuelve a crear activamente herramientas complejas de ciberespionaje. El uso de elementos antiguos de código junto con nuevos mecanismos confirma la continuidad dentro del grupo e indica que conserva capacidad técnica para operaciones de inteligencia de larga duración.