APT28 Gunakan Versi Modifikasi Framework Open-Source Covenant untuk Operasi Spionase

Kelompok peretas yang didukung negara Rusia, APT28, diketahui menggunakan varian khusus dari framework open-source Covenant untuk mendukung operasi spionase jangka panjang. Teknik ini memungkinkan mereka mempertahankan akses ke sistem target sekaligus menghindari deteksi sistem keamanan.

APT28, yang juga dikenal dengan nama Fancy Bear, Forest Blizzard, Strontium, dan Sednit, merupakan kelompok ancaman siber yang telah lama dikaitkan dengan berbagai operasi peretasan terhadap organisasi pemerintah dan institusi penting di berbagai negara.

Kelompok ini sebelumnya diketahui terlibat dalam serangan terhadap Parlemen Jerman, sejumlah organisasi di Prancis, jaringan pemerintah Polandia, serta negara-negara anggota NATO di Eropa.

Dua Malware Digunakan dalam Operasi Spionase

Peneliti dari perusahaan keamanan siber ESET mengungkap bahwa sejak April 2024, APT28 mulai menggunakan dua jenis malware dalam kampanye serangan mereka, yaitu BeardShell dan Covenant.

Pendekatan dengan dua implant ini memungkinkan pelaku melakukan pengawasan jangka panjang terhadap target, termasuk personel militer Ukraina.

Serangan terbaru menargetkan lembaga eksekutif pusat Ukraina dengan memanfaatkan kerentanan CVE-2026-21509 pada Microsoft Office. Celah keamanan tersebut dieksploitasi melalui dokumen DOC berbahaya yang digunakan untuk menyusupkan malware ke sistem korban.

Ditemukan Melalui Malware Keylogger

Peneliti ESET pertama kali menemukan aktivitas ini saat menganalisis malware SlimAgent, sebuah implant keylogger yang ditemukan pada sistem milik pemerintah Ukraina.

SlimAgent memiliki kemampuan untuk:

• Merekam penekanan tombol (keystroke logging)
• Mengumpulkan isi clipboard
• Mengambil tangkapan layar perangkat korban

Analisis lebih lanjut kemudian mengungkap keberadaan dua malware tambahan, yaitu BeardShell dan Covenant, yang digunakan sebagai bagian dari infrastruktur serangan.

BeardShell Gunakan Cloud untuk Komunikasi

BeardShell merupakan implant modern yang memanfaatkan layanan penyimpanan cloud Icedrive untuk komunikasi dengan server command-and-control (C2).

Malware ini mampu menjalankan perintah PowerShell dalam lingkungan runtime .NET dan sebelumnya telah dilaporkan digunakan bersama SlimAgent dalam serangan yang dianalisis oleh CERT-UA pada Juni 2025.

Peneliti juga menemukan bahwa BeardShell menggunakan teknik obfuscation unik yang sebelumnya terlihat pada alat jaringan bernama Xtunnel, yang pernah digunakan oleh APT28 pada dekade 2010-an.

Covenant Dimodifikasi untuk Menghindari Deteksi

Dalam serangan terbaru, BeardShell digunakan bersama versi yang telah dimodifikasi dari framework open-source Covenant, sebuah alat post-exploitation berbasis .NET yang biasanya digunakan dalam pengujian keamanan.

APT28 melakukan sejumlah perubahan pada framework tersebut, termasuk:

• Pembuatan identitas implant deterministik berdasarkan karakteristik sistem target
• Perubahan alur eksekusi untuk menghindari deteksi berbasis perilaku
• Implementasi protokol komunikasi berbasis cloud baru

Sejak Juli 2025, kelompok peretas ini juga mulai memanfaatkan layanan cloud Filen sebagai infrastruktur komunikasi Covenant. Sebelumnya, mereka diketahui menggunakan layanan Koofr dan pCloud.

Covenant Jadi Implant Utama

Menurut ESET, dalam arsitektur serangan terbaru ini, Covenant berfungsi sebagai implant utama, sementara BeardShell berperan sebagai alat cadangan jika operasi utama mengalami gangguan.

Pendekatan ini memungkinkan pelaku mempertahankan akses ke sistem target bahkan jika sebagian infrastruktur mereka berhasil dihentikan atau diblokir.

Peneliti juga menilai bahwa tim pengembang malware APT28 tampaknya kembali aktif sejak tahun 2024, yang memberikan kelompok tersebut kemampuan baru untuk melakukan operasi spionase jangka panjang.

Kesamaan teknis antara malware terbaru dengan alat yang digunakan APT28 pada era 2010-an juga menunjukkan adanya kesinambungan dalam tim pengembang di balik operasi kelompok tersebut.