Il gruppo di cyber spionaggio APT28, legato a operazioni governative russe, è stato osservato mentre conduce attività di sorveglianza prolungata contro personale militare ucraino tramite due impianti malware chiamati BEARDSHELL e COVENANT. La campagna risulta attiva almeno da aprile 2024 e mostra un approccio orientato alla persistenza, al controllo remoto e alla raccolta continua di informazioni sensibili, con un uso crescente di servizi cloud legittimi per nascondere il traffico di comando e controllo.

Nel set di strumenti attribuito ad APT28 compare anche SLIMAGENT, un componente progettato per la raccolta di dati tramite keylogging, screenshot e contenuti degli appunti. Un elemento rilevante è la sua parentela tecnica con XAgent, un impianto storico usato dallo stesso attore negli anni 2010 per controllo remoto ed esfiltrazione. Le analisi indicano similitudini di codice e una continuità nello sviluppo, inclusa la generazione di log di spionaggio in formato HTML con uno schema colori specifico per distinguere applicazioni, tasti premuti e nome della finestra, dettaglio che facilita la lettura e la classificazione dei dati rubati.

BEARDSHELL si distingue per la capacità di eseguire comandi PowerShell sui sistemi compromessi, consentendo agli attaccanti di svolgere azioni post-compromissione con flessibilità e basso rumore. Per il canale C2, il malware sfrutta un servizio di archiviazione cloud legittimo come Icedrive, tecnica utile a confondere i controlli di rete basati su reputazione e a mimetizzare le comunicazioni all'interno di flussi apparentemente leciti. Inoltre, è stata evidenziata una tecnica di offuscamento poco comune, nota come opaque predicate, già vista in strumenti precedenti associati ad APT28 per creare tunnel sicuri verso server esterni.

COVENANT, invece, nasce come framework open source .NET di post-exploitation, ma in questa variante risulta pesantemente modificato per supportare operazioni di lungo periodo. Gli adattamenti includono un protocollo di rete basato su cloud che abusa del servizio Filen per il comando e controllo dal 2025, dopo precedenti utilizzi di pCloud e Koofr. La scelta di basarsi su un progetto ufficialmente fermo dal 2021 suggerisce una competenza profonda nella personalizzazione e una strategia mirata a sfruttare strumenti ritenuti meno monitorati dai difensori.