{"id":203,"date":"2026-03-10T16:12:50","date_gmt":"2026-03-10T16:12:50","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/10\/apt28-utiliza-el-malware-beardshell-y-covenant-para-espiar-al-ejercito-ucraniano-cyberdefensa-mx\/"},"modified":"2026-03-10T16:12:50","modified_gmt":"2026-03-10T16:12:50","slug":"apt28-utiliza-el-malware-beardshell-y-covenant-para-espiar-al-ejercito-ucraniano-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/10\/apt28-utiliza-el-malware-beardshell-y-covenant-para-espiar-al-ejercito-ucraniano-cyberdefensa-mx\/","title":{"rendered":"APT28 utiliza el malware BEARDSHELL y COVENANT para espiar al ej\u00e9rcito ucraniano \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

El grupo de hackers patrocinado por el estado ruso fue rastreado como APT28<\/strong> Se ha observado el uso de un par de implantes denominados BEARDSHELL y COVENANT para facilitar la vigilancia a largo plazo del personal militar ucraniano.<\/p>\n

Las dos familias de malware se utilizan desde abril de 2024, ESET dicho<\/a> en un nuevo informe compartido con The Hacker News.<\/p>\n

APT28, tambi\u00e9n rastreado como Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422, es un actor de estado-naci\u00f3n afiliado a la Unidad 26165 de la agencia de inteligencia militar de la Federaci\u00f3n Rusa, GRU.<\/p>\n

El arsenal de malware del actor de amenazas consta de herramientas como BEARDSHELL y COVENANT, junto con otro programa con nombre en c\u00f3digo SLIMAGENT que es capaz de registrar pulsaciones de teclas, capturar capturas de pantalla y recopilar datos del portapapeles. SLIMAGENT fue documentado p\u00fablicamente por primera vez por el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) en junio de 2025.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

SLIMAGENT, seg\u00fan la empresa eslovaca de ciberseguridad, tiene sus ra\u00edces en XAgent, otro implante utilizado por APT28 en la d\u00e9cada de 2010 para facilitar el control remoto y la exfiltraci\u00f3n de datos. Esto se basa en similitudes de c\u00f3digo descubiertas entre SLIMAGENT y muestras previamente desconocidas implementadas en ataques dirigidos a entidades gubernamentales en dos pa\u00edses europeos ya en 2018.<\/p>\n

Se eval\u00faa que los artefactos de 2018 y la muestra de SLIMAGENT de 2024 se originaron en XAgent, y el an\u00e1lisis de ESET descubri\u00f3 superposiciones en el registro de teclas entre SLIMAGENT y un Muestra de XAgent<\/a> detectado en estado salvaje a finales de 2014.<\/p>\n

\u00abSLIMAGENT emite sus registros de espionaje en formato HTML, con el nombre de la aplicaci\u00f3n, las pulsaciones de teclas registradas y el nombre de la ventana en azul, rojo y verde, respectivamente\u00bb, dijo ESET. \u00abEl keylogger XAgent tambi\u00e9n produce registros HTML utilizando el mismo esquema de color\u00bb.<\/p>\n

Tambi\u00e9n se implementa en conexi\u00f3n con SLIMAGENT otra puerta trasera conocida como BEARDSHELL que es capaz de ejecutar comandos de PowerShell en hosts comprometidos. Utiliza el servicio leg\u00edtimo de almacenamiento en la nube Icedrive para comando y control (C2).<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Comparaci\u00f3n de c\u00f3digo entre SLIMAGENT (izquierda) y XAgent (derecha)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Un aspecto digno de menci\u00f3n del malware es que utiliza una t\u00e9cnica de ofuscaci\u00f3n distintiva conocida como predicado opaco<\/a>que tambi\u00e9n se encuentra en XTunnel (tambi\u00e9n conocido como X-Tunnel), un herramienta de giro y recorrido de red<\/a> utilizado por APT28 en el hackeo del Comit\u00e9 Nacional Dem\u00f3crata (DNC) de 2016. La herramienta proporciona un t\u00fanel seguro a un servidor C2 externo.<\/p>\n

\u00abEl uso compartido de esta rara t\u00e9cnica de ofuscaci\u00f3n, combinada con su colocaci\u00f3n con SLIMAGENT, nos lleva a evaluar con gran confianza que BEARDSHELL es parte del arsenal personalizado de Sednit\u00bb, a\u00f1adi\u00f3 ESET.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Una tercera pieza importante del conjunto de herramientas del actor de amenazas es COVENANT, un marco de post-explotaci\u00f3n .NET de c\u00f3digo abierto que ha sido \u00abfuertemente\u00bb modificado para soportar el espionaje a largo plazo y para implementar un nuevo protocolo de red basado en la nube que abusa del servicio de almacenamiento en la nube Filen para C2 desde julio de 2025. Anteriormente, se dec\u00eda que la variante COVENANT de APT28 usaba pCloud (en 2023) y Koofr (en 2024-2025).<\/p>\n

\u00abEstas adaptaciones muestran que los desarrolladores de Sednit adquirieron una profunda experiencia en Covenant, un implante cuyo desarrollo oficial ces\u00f3 en abril de 2021 y es posible que los defensores lo hayan considerado no utilizado\u00bb, dijo ESET. \u00abEsta sorprendente elecci\u00f3n operativa parece haber dado sus frutos: Sednit ha confiado con \u00e9xito en Covenant durante varios a\u00f1os, particularmente contra objetivos seleccionados en Ucrania.\u00bb<\/p>\n

Esta no es la primera vez que el colectivo adversario adopta la estrategia de doble implante. En 2021, Trellix revel\u00f3 que APT28 implement\u00f3 Graphite, una puerta trasera que empleaba OneDrive para C2 y PowerShell Empire en ataques dirigidos a funcionarios gubernamentales de alto rango que supervisan la pol\u00edtica de seguridad nacional e individuos del sector de defensa en Asia occidental.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

El grupo de hackers patrocinado por el estado ruso fue rastreado como APT28 Se ha observado el uso de un par de implantes denominados BEARDSHELL y COVENANT para facilitar la vigilancia a largo plazo del personal militar ucraniano. Las dos familias de malware se utilizan desde abril de 2024, ESET dicho en un nuevo informe […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[286,688,689,24,691,690,60,36,692,216],"class_list":["post-203","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-apt28","tag-beardshell","tag-covenant","tag-cyberdefensa-mx","tag-ejercito","tag-espiar","tag-malware","tag-para","tag-ucraniano","tag-utiliza"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/203","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=203"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/203\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=203"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=203"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=203"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}