# BeardShell ## Visão Geral Implant C++ desenvolvido pelo [[g0007-apt28|APT28]] (GRU Unit 26165 / [[g0007-apt28|Forest Blizzard]]) identificado pela ESET em março de 2026. O BeardShell utiliza a API privada do **Icedrive** como canal C2, empregando técnica de ofuscação com predicados opacos idêntica ao **XTunnel** usado no hack do DNC em 2016 - uma ligação direta que confirma continuidade do mesmo time de desenvolvedores ao longo de quase uma década. --- ## Como Funciona O BeardShell opera como implant primário em operações do APT28 contra alvos militares ucranianos desde abril de 2024. Suas características técnicas incluem: - **C2 via cloud storage** - comúnicação através da API privada do Icedrive (anteriormente Filen, pCloud e Koofr), dificultando detecção por parecer tráfego legítimo de cloud - **Ofuscação com predicados opacos** - técnica herdada do XTunnel (DNC 2016), inserindo condições sempre verdadeiras/falsas para confundir análise estática - **Fallback para [[s1155-covenant|Covenant]]** - quando o BeardShell falha, o APT28 implanta o framework Covenant como backup - **Sem artefatos em disco** - execução em memória via PowerShell, minimizando evidências forenses ```mermaid graph TB A["Spear-phishing<br/>Documento Office"] --> B["Macro executa<br/>PowerShell em memória"] B --> C["BeardShell implant<br/>C++ com ofuscação"] C --> D["C2 via Icedrive<br/>API privada cloud"] D --> E["Keylogging +<br/>Screenshots + Clipboard"] C --> F["Fallback: Covenant<br/>Framework .NET"] F --> D style A fill:#cc0000,color:#fff style C fill:#cc6600,color:#fff style D fill:#1a3a5c,color:#fff style F fill:#cc9900,color:#000 ``` --- ## Detecção e Mitigação - Monitorar tráfego para APIs de serviços cloud não corporativos (Icedrive, Filen, pCloud, Koofr) - Auditar execuções PowerShell em memória sem artefatos em disco - Bloquear acesso a serviços de cloud storage não autorizados em endpoints críticos - Buscar indicadores de predicados opacos em binários C++ suspeitos --- ## Relevância LATAM Embora o APT28 foque primariamente em alvos ucranianos e da OTAN, o grupo tem histórico de operações contra organizações governamentais e diplomáticas na América Latina. A técnica de C2 via cloud storage legítimo é especialmente difícil de detectar em ambientes corporativos brasileiros onde serviços como Icedrive e pCloud são permitidos por padrão. --- ## Referências - ESET Research, março 2026 - análise do arsenal renovado APT28 - [[_feed|Feed CTI]] - APT28 BeardShell + Covenant (27 mar 2026)