Publié le 10/03/2026 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
BRATISLAVA, le 10 mars 2026 — ESET Research vient de retracer la réactivation de Sednit grâce à son arsenal moderne, articulé autour de deux implants appariés, BeardShell et Covenant, utilisant chacun un fournisseur de cloud différent afin de garantir sa résilience. Cette approche à double implant permet la surveillance à long terme de militaires ukrainiens et est utilisée depuis avril 2024.
En 2016, le département de la Justice américain a établi un lien entre le groupe Sednit et l’unité 26165 du GRU, un service de renseignement de la Fédération de Russie rattaché à la Direction principale du renseignement militaire russe.
L’analyse d’ESET sur les activités récentes de Sednit débute en avril 2024 avec SlimAgent, un logiciel espion découvert par le CERT-UA sur un ordinateur du gouvernement ukrainien. SlimAgent est un outil d’espionnage simple et efficace qui enregistre les frappes au clavier, prend des captures d’écran et collecte les données du presse-papiers.
Dans sa télémétrie, ESET a identifié des échantillons jusqu’alors inconnus, dotés d’un code similaire à SlimAgent, déployés dès 2018 — soit six ans avant l’invasion de l’Ukraine — contre des gouvernements dans deux pays européens. SlimAgent serait une évolution du module enregistreur de frappe Xagent, utilisé comme composant autonome depuis au moins 2018. Xagent est un ensemble d’outils personnalisés utilisé depuis plus de six ans uniquement par le groupe Sednit.
SlimAgent n’est pas le seul implant découvert en 2024 sur la machine ukrainienne. BeardShell, un ajout plus récent à l’arsenal personnalisé de Sednit, y était également déployé. BeardShell est un implant sophistiqué capable d’exécuter des commandes PowerShell au sein d’un environnement d’exécution .NET, en utilisant le stockage cloud légitime Icedrive comme canal de commande et de contrôle. Grâce à l’utilisation conjointe d’une technique d’obfuscation rare, combinée à sa présence aux côtés de SlimAgent, ESET peut conclure avec une quasi-certitude que BeardShell fait partie de l’arsenal personnalisé de Sednit.
Depuis le cas initial de 2024, Sednit a continué à déployer BeardShell jusqu’en 2026, principalement dans le cadre d’opérations d’espionnage de longue durée visant le personnel militaire ukrainien. Afin de maintenir un accès permanent à ces cibles stratégiques, Sednit déploie systématiquement Covenant en parallèle de BeardShell, dernier implant de son arsenal actuel.
Covenant est un cadre de post-exploitation open source basé sur .NET qui propose plus de 90 tâches intégrées, offrant des fonctionnalités telles que l’exfiltration de données, la surveillance des cibles et le pivotement réseau.
Depuis 2023, les développeurs de Sednit ont apporté de nombreuses modifications et mené plusieurs expérimentations sur Covenant afin d’en faire leur principal outil d’espionnage. BeardShell est principalement utilisé comme solution de repli en cas de problèmes opérationnels avec Covenant, comme la mise hors service de son infrastructure cloud.
Depuis plusieurs années, Sednit s’appuie avec succès sur Covenant, notamment contre des cibles spécifiques en Ukraine. En 2025, l’analyse par ESET des disques cloud Covenant contrôlés par Sednit a révélé des machines surveillées depuis plus de six mois. En janvier 2026, Sednit a également déployé Covenant dans des campagnes de spear phishing exploitant la vulnérabilité CVE-2026-21509, comme l’a signalé le CERT-UA.
La sophistication de BeardShell et les modifications importantes apportées à Covenant démontrent que les développeurs de Sednit sont parfaitement capables de produire des implants personnalisés de pointe. De plus, le partage du code et des techniques reliant ces outils à ceux datant de 2010 démontre une forte continuité au sein de l’équipe de développement.
Pour une analyse plus détaillée du dernier arsenal de Sednit, consultez le nouvel article du blog ESET Research «“Sednit reloaded: Back in the trenches » sur www.welivesecurity.com. Suivez également ESET Research sur Twitter (aujoud’hui X), BlueSky, pour les toutes dernières informations.
À propos d’ESET
ESET® propose une cybersécurité de pointe afin de prévenir les attaques avant même qu’elles ne se produisent. En combinant la puissance de l’intelligence artificielle et l’expertise humaine, ESET garde une longueur d’avance sur les cybermenaces mondiales, qu’elles soient connues ou émergentes, et protège les entreprises, les infrastructures critiques et les particuliers.
Qu’il s’agisse de protection des terminaux, du cloud ou des appareils mobiles, les solutions et services ESET, basés sur l’IA et conçus pour le cloud, sont extrêmement efficaces et simples à utiliser. La technologie ESET comprend des capacités avancées de détection et de réponse, un chiffrement ultra-sécurisé ainsi qu’une authentification multifacteur.
Grâce à une protection en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. Dans un environnement numérique en constante évolution, la sécurité exige une approche innovante. ESET s’engage à mener des recherches de pointe et à fournir une veille sur les menaces de haute qualité, soutenue par ses centres de R&D et un solide réseau de partenaires internationaux.
Pour plus d’informations, consultez www.eset.com ou suivez-nous sur nos réseaux sociaux, podcasts, blogs et https://www.est.com/be-fr/
En 2016, le département de la Justice américain a établi un lien entre le groupe Sednit et l’unité 26165 du GRU, un service de renseignement de la Fédération de Russie rattaché à la Direction principale du renseignement militaire russe.
L’analyse d’ESET sur les activités récentes de Sednit débute en avril 2024 avec SlimAgent, un logiciel espion découvert par le CERT-UA sur un ordinateur du gouvernement ukrainien. SlimAgent est un outil d’espionnage simple et efficace qui enregistre les frappes au clavier, prend des captures d’écran et collecte les données du presse-papiers.
Dans sa télémétrie, ESET a identifié des échantillons jusqu’alors inconnus, dotés d’un code similaire à SlimAgent, déployés dès 2018 — soit six ans avant l’invasion de l’Ukraine — contre des gouvernements dans deux pays européens. SlimAgent serait une évolution du module enregistreur de frappe Xagent, utilisé comme composant autonome depuis au moins 2018. Xagent est un ensemble d’outils personnalisés utilisé depuis plus de six ans uniquement par le groupe Sednit.
SlimAgent n’est pas le seul implant découvert en 2024 sur la machine ukrainienne. BeardShell, un ajout plus récent à l’arsenal personnalisé de Sednit, y était également déployé. BeardShell est un implant sophistiqué capable d’exécuter des commandes PowerShell au sein d’un environnement d’exécution .NET, en utilisant le stockage cloud légitime Icedrive comme canal de commande et de contrôle. Grâce à l’utilisation conjointe d’une technique d’obfuscation rare, combinée à sa présence aux côtés de SlimAgent, ESET peut conclure avec une quasi-certitude que BeardShell fait partie de l’arsenal personnalisé de Sednit.
Depuis le cas initial de 2024, Sednit a continué à déployer BeardShell jusqu’en 2026, principalement dans le cadre d’opérations d’espionnage de longue durée visant le personnel militaire ukrainien. Afin de maintenir un accès permanent à ces cibles stratégiques, Sednit déploie systématiquement Covenant en parallèle de BeardShell, dernier implant de son arsenal actuel.
Covenant est un cadre de post-exploitation open source basé sur .NET qui propose plus de 90 tâches intégrées, offrant des fonctionnalités telles que l’exfiltration de données, la surveillance des cibles et le pivotement réseau.
Depuis 2023, les développeurs de Sednit ont apporté de nombreuses modifications et mené plusieurs expérimentations sur Covenant afin d’en faire leur principal outil d’espionnage. BeardShell est principalement utilisé comme solution de repli en cas de problèmes opérationnels avec Covenant, comme la mise hors service de son infrastructure cloud.
Depuis plusieurs années, Sednit s’appuie avec succès sur Covenant, notamment contre des cibles spécifiques en Ukraine. En 2025, l’analyse par ESET des disques cloud Covenant contrôlés par Sednit a révélé des machines surveillées depuis plus de six mois. En janvier 2026, Sednit a également déployé Covenant dans des campagnes de spear phishing exploitant la vulnérabilité CVE-2026-21509, comme l’a signalé le CERT-UA.
La sophistication de BeardShell et les modifications importantes apportées à Covenant démontrent que les développeurs de Sednit sont parfaitement capables de produire des implants personnalisés de pointe. De plus, le partage du code et des techniques reliant ces outils à ceux datant de 2010 démontre une forte continuité au sein de l’équipe de développement.
Pour une analyse plus détaillée du dernier arsenal de Sednit, consultez le nouvel article du blog ESET Research «“Sednit reloaded: Back in the trenches » sur www.welivesecurity.com. Suivez également ESET Research sur Twitter (aujoud’hui X), BlueSky, pour les toutes dernières informations.
À propos d’ESET
ESET® propose une cybersécurité de pointe afin de prévenir les attaques avant même qu’elles ne se produisent. En combinant la puissance de l’intelligence artificielle et l’expertise humaine, ESET garde une longueur d’avance sur les cybermenaces mondiales, qu’elles soient connues ou émergentes, et protège les entreprises, les infrastructures critiques et les particuliers.
Qu’il s’agisse de protection des terminaux, du cloud ou des appareils mobiles, les solutions et services ESET, basés sur l’IA et conçus pour le cloud, sont extrêmement efficaces et simples à utiliser. La technologie ESET comprend des capacités avancées de détection et de réponse, un chiffrement ultra-sécurisé ainsi qu’une authentification multifacteur.
Grâce à une protection en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. Dans un environnement numérique en constante évolution, la sécurité exige une approche innovante. ESET s’engage à mener des recherches de pointe et à fournir une veille sur les menaces de haute qualité, soutenue par ses centres de R&D et un solide réseau de partenaires internationaux.
Pour plus d’informations, consultez www.eset.com ou suivez-nous sur nos réseaux sociaux, podcasts, blogs et https://www.est.com/be-fr/
Liens associés
26/03/2026 @ 09:09:58
Poster un commentaire
