# APT28 - Campanha BeardShell e Covenant 2024 > [!danger] Ressurgimento do Arsenal de Espionagem Avançado do APT28 > Em abril de 2024, pesquisadores da ESET identificaram o retorno da equipe de desenvolvimento avançado do APT28 com um arsenal moderno centrado em dois implantes emparelhados - **BeardShell** e **Covenant** - cada um utilizando um provedor de nuvem diferente para resiliência. A campanha manteve vigilância de longo prazo sobre pessoal militar ucraniano e demonstra continuidade técnica direta com ferramentas da era 2010. ## Visão Geral O **APT28** (também rastreado como Fancy Bear, Forest Blizzard, Sednit, Sofacy, STRONTIUM e UAC-0001) é um grupo de espionagem cibernética patrocinado pelo Estado russo, atribuído à **Unidade 26165 do GRU** (Centro Principal de Serviços Especiais - GTsSS). Ativo desde pelo menos 2004, o grupo é responsável por operações de espionagem de alto perfil, incluindo a intrusão ao Comitê Nacional Democrata em 2016 e ataques a governos europeus e à OTAN. Esta nota documenta específicamente a campanha de 2024-2026 que introduziu dois novos implantes: **BeardShell** e um **Covenant** extensivamente modificado. Descoberta pelo CERT-UA em abril de 2024 em um sistema governamental ucraniano comprometido, a campanha revelou que a equipe de desenvolvimento avançado do APT28 retornou à atividade plena após um período de menor visibilidade. O ESET confirmou, em março de 2026, que as ferramentas mostram linhagem direta com implantes da era 2010-2016 do grupo. **Destaques técnicos:** - Uso de serviços de armazenamento em nuvem legítimos (Icedrive, Filen, Koofr) para C2 - disfarça tráfego malicioso como atividade cloud normal - Técnica de steganografia em PNG nunca antes observada em operações APT28 - Obfuscação via **opaque predicaté** - mesma técnica do XTunnel de 2013, indicando continuidade da equipe de desenvolvimento - Deploy via conversas privadas no **Signal Messenger** com lures de documentos militares ucranianos **Relevância para LATAM:** O APT28 não possui histórico documentado de operações direcionadas ao Brasil ou à América Latina. Contudo, as técnicas desta campanha - especialmente o abuso de cloud storage legítimo para C2 - são facilmente replicáveis por outros atores. Organizações brasileiras com vínculos em defesa, diplomacia ou parceiros internacionais devem conhecer este modelo de ataque. ## Arsenal: BeardShell e Covenant ### BeardShell **BeardShell** é um backdoor moderno em C++ desenvolvido pelo APT28: - Executa comandos PowerShell em ambiente de runtime .NET - Usa a API do **Icedrive** para comúnicações C2 - sem API pública oficial, os operadores reimplementaram as requisições do cliente legítimo - Persiste via **COM hijacking** no registro do Windows - Criptografia **ChaCha20-Poly1305** nas comúnicações - Mascareia arquivos maliciosos com cabeçalhos falsos de formatos de imagem (BMP, GIF, JPEG, PNG, TIFF) - **Opaque predicaté obfuscation** - técnica rara vista anteriormente apenas no XTunnel (ferramenta APT28 de 2013-2016) ### Covenant Modificado O **Covenant** é um framework .NET de pós-exploração open-source (desenvolvimento oficial encerrado em 2021) que o APT28 adaptou para espionagem de longo prazo: - Identificadores de implante determinísticos vinculados às características do host - Fluxo de execução modificado para evadir detecção comportamental - Comúnicação via múltiplos provedores de nuvem: Koofr, pCloud (2024-2025), depois Filen (desde julho 2025) - Funciona como implante **primário**; BeardShell é o fallback de resiliência ### SlimAgent **SlimAgent** é um keylogger derivado do **XAgent** histórico do APT28: - Captura keystrokes, screenshots e dados de clipboard - Gera logs formatados em HTML com esquema de cores idêntico ao XAgent - Criptografa imagens com AES e RSA localmente - Amostras de 2018 e 2024 compartilham código quase idêntico ```mermaid graph TB A["Spear-phishing via Signal<br/>Documentos militares forjados<br/>Macro VBA em .doc"] --> B["COM Hijacking<br/>DLL Maliciosa Carregada<br/>Steganografia em PNG"] B --> C["Covenant Framework<br/>Implante primário<br/>C2 via Filen/Koofr cloud"] C --> D["BeardShell Backdoor<br/>C++ + .NET runtime<br/>PowerShell via Icedrive API"] D --> E["SlimAgent Keylogger<br/>Screenshots + keystrokes<br/>Criptografia AES+RSA local"] E --> F["Exfiltração<br/>Cloud storage legítimo<br/>Tráfego mascarado"] style A fill:#8b1a1a,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#2980b9,color:#fff style F fill:#16a085,color:#fff ``` ## Evolução Histórica da Campanha ```mermaid timeline title APT28 BeardShell/Covenant - Linha do Tempo 2024-04 : Descoberta inicial CERT-UA em sistema ucraniano : Implantes BeardShell e SlimAgent identificados 2025-05 : ESET reporta nova intrusão em conta gov.ua : Covenant + BeardShell documentados em conjunto : C2 via Icedrive e Koofr APIs 2025-07 : Migração para Filen como novo provedor C2 principal : Expansão para documentos Excel weaponizados 2025-09 : Sekoia.io documenta campanha via Signal Messenger : 42 hosts comprometidos identificados : Técnica de steganografia PNG revelada 2026-03 : ESET publica relatório técnico completo : Linhagem com código da era 2010 confirmada com alta confiança ``` ## TTPs Principais | Tática | Técnica | Descrição | |--------|---------|-----------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Documentos Office weaponizados distribuídos via Signal | | Execution | [[t1059-001-powershell\|T1059.001]] | BeardShell executa scripts PowerShell criptografados | | Execution | [[t1204-002-malicious-file\|T1204.002]] | Documentos .doc com macros VBA para COM hijacking | | Defense Evasion | [[t1027-obfuscated-files\|T1027]] | Opaque predicaté obfuscation no BeardShell | | Defense Evasion | [[t1036-masquerading\|T1036]] | Arquivos maliciosos com cabeçalhos de imagem falsos | | Persistence | [[t1547-001-registry-run-keys\|T1547.001]] | COM hijacking via registro do Windows para persistência | | C2 | [[t1102-web-service\|T1102]] | C2 via Icedrive, Filen, Koofr (serviços cloud legítimos) | | Collection | [[t1056-001-keylogging\|T1056.001]] | SlimAgent captura keystrokes e screenshots | | Exfiltration | [[t1567-002-exfiltration-to-cloud-storage\|T1567.002]] | Exfiltração via serviços de armazenamento em nuvem | ## Detecção e Defesa > [!tip] Indicadores de Detecção > - Processos PowerShell iniciados por aplicações .NET incomuns ou não esperadas > - Conexões de saída para domínios Icedrive, Filen ou Koofr em volumes anormais ou fora do horário comercial > - Modificações no registro do Windows relacionadas a COM objects por processos não autorizados > - Arquivos com extensões de imagem (.png, .bmp) contendo shellcode - verificar magic bytes reais versus extensão declarada > - Processos filho de winword.exe ou excel.exe gerando DLLs em diretórios temporários > [!info] Mitigações Recomendadas > - Bloquear macros VBA por padrão em documentos Office recebidos externamente ([[t1566-001-spearphishing-attachment|M1049]]) > - Monitorar e restringir uso de aplicativos de mensagens (Signal, Telegram) para transferência de arquivos corporativos > - Aplicar allowlisting de aplicações para impedir execução de DLLs não autorizadas > - Implementar inspeção de TLS e análise comportamental de tráfego para serviços de armazenamento em nuvem > - Bloquear ou monitorar APIs de Icedrive, Filen e Koofr em ambientes sensíveis ## Referências - [1](https://www.bleepingcomputer.com/news/security/apt28-hackers-deploy-customized-variant-of-covenant-open-source-tool/) BleepingComputer - APT28 hackers deploy customized variant of Covenant open-source tool (2026) - [2](https://securityaffairs.com/189230/apt/apt28-conducts-long-term-espionage-on-ukrainian-forces-using-custom-malware.html) Security Affairs - APT28 conducts long-term espionage on Ukrainian forces using custom malware (2026) - [3](https://cyberpress.org/apt28-eardshell/) CyberPress - Signal Comes Under Siege as APT28 Deploys BeardShell and Covenant (2025) - [4](https://cyberinsider.com/apt28-revives-advanced-malware-toolkit-used-in-cyber-espionage-ops/) CyberInsider - APT28 revives advanced malware toolkit used in cyber-espionage ops (2026) - [5](https://attack.mitre.org/groups/G0007/) MITRE ATT&CK - G0007 APT28 (2024) - [6](https://innovatecybersecurity.com/news/signal-messenger-apt28-fancy-bears-latest-attack-vector/) InnovateCybersecurity - Signal Messenger: APT28 Latest Attack Vector (2025) **Grupo principal:** [[g0007-apt28|APT28 (Fancy Bear)]] **Malware:** [[beardshell|BeardShell]] · [[slimagent|SlimAgent]] **Técnicas chave:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1059-001-powershell|T1059.001]] · [[t1102-web-service|T1102]] · [[t1567-002-exfiltration-to-cloud-storage|T1567.002]] · [[t1027-obfuscated-files|T1027]] **Setores alvo:** [[military|Militar]] · [[government|Governo]] · [[defense|Defesa]] **Países alvo:** Ucrânia · Europa (NATO)