Los investigadores de ESET han identificado recientemente la reactivación de Sednit a través de su toolkit moderno, articulado en torno a dos implantes complementarios, BeardShell y Covenant, cada uno de ellos apoyado en un proveedor cloud distinto para reforzar la resiliencia operativa. Este enfoque de doble implante ha permitido llevar a cabo un espionaje prolongado sobre personal militar ucraniano y se encuentra en uso desde abril de 2024. En 2016, el Departamento de Justicia de Estados Unidos vinculó al grupo Sednit con la Unidad 26165 del GRU, la agencia de inteligencia de la Federación Rusa integrada en la Dirección Principal de Inteligencia del ejército ruso.

El análisis de las actividades más recientes de Sednit comienza con SlimAgent, un implante de espionaje descubierto en abril de 2024 por el CERT-UA en un equipo perteneciente a una entidad gubernamental ucraniana. SlimAgent es una herramienta de espionaje sencilla pero eficaz, capaz de registrar pulsaciones de teclado, realizar capturas de pantalla y recopilar datos del portapapeles. A partir de su telemetría, ESET identificó muestras previamente desconocidas con código similar a SlimAgent, desplegadas ya en 2018, seis años antes del caso detectado en Ucrania, contra entidades gubernamentales de dos países europeos. Todo ello apunta a que SlimAgent es una evolución del módulo keylogger de Xagent, desplegado como componente independiente al menos desde 2018. Xagent es un conjunto de herramientas personalizado utilizado exclusivamente por Sednit desde hace más de seis años.

SlimAgent no fue el único implante hallado en el equipo ucraniano comprometido en 2024. También se detectó BeardShell, una incorporación mucho más reciente al arsenal propio de Sednit. Se trata de un implante sofisticado, capaz de ejecutar comandos de PowerShell dentro de un entorno de ejecución .NET, utilizando además el servicio legítimo de almacenamiento en la nube Icedrive como canal de mando y control (C2). El uso compartido de una técnica de ofuscación poco habitual, junto con su presencia en el mismo sistema que SlimAgent, lleva a ESET a concluir con un alto grado de confianza que BeardShell forma parte del arsenal desarrollado por Sednit.

Desde el caso inicial de 2024, Sednit ha seguido desplegando BeardShell durante 2025 y 2026, principalmente en operaciones de espionaje prolongado dirigidas contra personal militar ucraniano. Para mantener un acceso persistente a estos objetivos de alto valor, el grupo despliega sistemáticamente otro implante junto a BeardShell: Covenant, el tercer componente de su arsenal actual. Covenant es un framework de post-explotación .NET de código abierto que incorpora más de 90 tareas predefinidas y ofrece capacidades como exfiltración de datos, monitorización del objetivo y pivotaje dentro de la red.

Desde 2023, los desarrolladores de Sednit han llevado a cabo múltiples modificaciones y pruebas sobre Covenant con el objetivo de convertirlo en su principal implante de espionaje, manteniendo BeardShell fundamentalmente como herramienta de respaldo en caso de que Covenant encuentre problemas operativos, como la desactivación de su infraestructura cloud. Sednit ha utilizado Covenant con éxito durante varios años, especialmente contra objetivos seleccionados en Ucrania. De hecho, en 2025, el análisis de ESET sobre unidades cloud controladas por Sednit y utilizadas por Covenant reveló sistemas que habían permanecido monitorizados durante más de seis meses. En enero de 2026, Sednit también desplegó Covenant en una serie de campañas de spearphishing que explotaban la vulnerabilidad CVE-2026-21509, tal y como informó CERT-UA.

La sofisticación de BeardShell y el amplio conjunto de modificaciones introducidas en Covenant demuestran que los desarrolladores de Sednit siguen plenamente capacitados para crear implantes avanzados y personalizados. Además, el código compartido y las técnicas que vinculan estas herramientas con sus predecesoras de la década de 2010 apuntan claramente a una continuidad dentro del equipo de desarrollo.