كشفت شركة الأمن السيبراني ESET عن استخدام مجموعة القرصنة الروسية المدعومة من الدولة والمعروفة باسم APT28 لبرمجيات تجسس جديدة تحمل أسماء BEARDSHELL وCOVENANT، بهدف مراقبة طويلة الأمد تستهدف أفراد الجيش الأوكراني. هذه البرمجيات بدأت بالظهور منذ أبريل 2024، وتأتي ضمن ترسانة متطورة لطرف يُعرف أيضاً بأسماء متعددة مثل Fancy Bear وSednit وForest Blizzard.
أدوات تجسس متطورة: BEARDSHELL وCOVENANT
يُعتبر BEARDSHELL بمثابة باب خلفي قادر على تنفيذ أوامر PowerShell على الأجهزة المخترقة، ويعتمد على خدمة التخزين السحابي Icedrive كقناة للتحكم والسيطرة (C2).
أما COVENANT فهو إطار مفتوح المصدر بلغة .NET تم تعديله بشكل كبير لدعم عمليات التجسس طويلة الأمد، حيث استغل المهاجمون خدمات تخزين سحابية مثل pCloud وKoofr سابقاً، قبل أن ينتقلوا إلى خدمة Filen منذ يوليو 2025.
SLIMAGENT: امتداد لتاريخ طويل من التجسس
إلى جانب هذين البرمجيتين، استخدمت المجموعة أداة أخرى تُعرف باسم SLIMAGENT، قادرة على تسجيل ضغطات لوحة المفاتيح والتقاط صور للشاشة وجمع بيانات الحافظة. وقد وثق فريق الاستجابة الطارئة الأوكراني CERT-UA هذه الأداة لأول مرة في يونيو 2025.
التحليل أظهر أن SLIMAGENT يرتبط بجذور برمجية قديمة تُعرف باسم XAgent، والتي استخدمتها المجموعة في العقد الماضي لعمليات تحكم عن بعد وسرقة بيانات. التشابه في أسلوب تسجيل ضغطات المفاتيح وإخراج السجلات بصيغة HTML يؤكد هذا الارتباط.
تقنيات إخفاء متقدمة
أحد الجوانب اللافتة في BEARDSHELL هو اعتماده على تقنية إخفاء تُعرف باسم Opaque Predicate، وهي نفس التقنية التي ظهرت في أداة XTunnel المستخدمة في اختراق اللجنة الوطنية الديمقراطية الأميركية عام 2016. هذا التشابه يعزز تقييم ESET بأن البرمجية جزء من ترسانة Sednit المخصصة.
استراتيجية مزدوجة متكررة
ليست هذه المرة الأولى التي تعتمد فيها المجموعة على استراتيجية “البرمجيات المزدوجة”. ففي عام 2021، كشفت شركة Trellix عن استخدام APT28 لبرمجية Graphite التي اعتمدت على OneDrive كقناة تحكم، إلى جانب إطار PowerShell Empire، في هجمات استهدفت مسؤولين رفيعي المستوى في قطاع الأمن القومي بدول غرب آسيا.
