APT28 Gunakan Malware BEARDSHELL dan COVENANT untuk Mata-matai Militer Ukraina

APT28, kelompok peretas yang didukung negara Rusia, diketahui menggunakan dua jenis malware bernama BEARDSHELL dan COVENANT untuk melakukan pengawasan jangka panjang terhadap personel militer Ukraina. Aksi ini telah berlangsung sejak April 2024, menurut laporan terbaru dari perusahaan keamanan siber asal Slovakia, ESET.

Profil dan Latar Belakang APT28

APT28, yang juga dikenal dengan berbagai nama seperti Blue Athena, Fancy Bear, dan Sednit, merupakan kelompok peretas yang berafiliasi dengan Unit 26165 dari Badan Intelijen Militer Rusia (GRU). Mereka terkenal sebagai aktor negara yang melakukan serangan siber canggih dengan target utama institusi pemerintah, militer, dan organisasi penting lainnya.

Dalam arsenal malware APT28 terdapat sejumlah perangkat lunak berbahaya selain BEARDSHELL dan COVENANT, termasuk SLIMAGENT — program yang dapat merekam ketikan keyboard, menangkap screenshot, dan mengumpulkan data clipboard. SLIMAGENT pertama kali diungkap oleh Computer Emergency Response Team Ukraina (CERT-UA) pada Juni 2025.

Asal Usul dan Fungsi Malware SLIMAGENT

Menurut ESET, SLIMAGENT merupakan turunan dari malware lama bernama XAgent yang pernah digunakan APT28 pada dekade 2010-an untuk kontrol jarak jauh dan eksfiltrasi data. Analisis kode menunjukkan kemiripan kuat antara SLIMAGENT dengan sampel yang ditemukan dalam serangan terhadap lembaga pemerintah di dua negara Eropa sejak 2018.

"SLIMAGENT menghasilkan log spionase dalam format HTML, dengan nama aplikasi, ketikan yang tercatat, dan nama jendela berwarna biru, merah, dan hijau secara berurutan," jelas ESET. "Keylogger XAgent juga menggunakan skema warna HTML yang sama."

Malware BEARDSHELL dan Teknik Pengelabuan

BEARDSHELL adalah backdoor yang memungkinkan pelaku mengendalikan komputer korban melalui perintah PowerShell. Uniknya, malware ini memanfaatkan layanan penyimpanan cloud resmi bernama Icedrive untuk komunikasi command-and-control (C2), sehingga sulit dideteksi.

BEARDSHELL menggunakan teknik pengelabuan langka yang disebut opaque predicate, yang juga ditemukan pada XTunnel, alat yang digunakan dalam serangan peretasan signifikan terhadap Komite Nasional Demokrat AS pada 2016. Teknik ini membantu malware menyembunyikan keberadaannya sambil menjaga koneksi yang aman ke server C2 eksternal.

"Penggunaan teknik obfuscation yang jarang dan kedekatannya dengan SLIMAGENT membuat kami yakin BEARDSHELL merupakan bagian dari arsenal khusus Sednit," tambah ESET.

COVENANT dan Evolusi Strategi Serangan Cloud-Based

COVENANT, sebuah framework post-eksploitasi open-source berbasis .NET, telah dimodifikasi secara ekstensif oleh APT28 untuk mendukung spionase jangka panjang. Sejak Juli 2025, malware ini menggunakan protokol jaringan berbasis cloud yang memanfaatkan layanan penyimpanan Filen untuk komunikasi C2.

Sebelumnya, APT28 juga menggunakan layanan cloud lain seperti pCloud pada 2023 dan Koofr antara 2024-2025 sebagai sarana serangannya. Adaptasi ini menunjukkan keahlian mendalam pengembang Sednit dalam memodifikasi COVENANT yang resmi pengembangannya telah dihentikan sejak April 2021 dan dianggap tidak aktif oleh banyak pihak pertahanan siber.

"Pilihan operasional yang mengejutkan ini terbukti efektif: Sednit berhasil mengandalkan COVENANT selama beberapa tahun terutama untuk target terpilih di Ukraina," ujar ESET.

Strategi Dual-Implant dan Operasi Sebelumnya

Penggunaan dua malware sekaligus bukan hal baru bagi APT28. Pada 2021, Trellix melaporkan bahwa kelompok ini menggunakan Graphite, sebuah backdoor yang memanfaatkan OneDrive untuk komunikasi C2, dan PowerShell Empire dalam serangan terhadap pejabat tinggi pemerintah di Asia Barat yang mengawasi kebijakan keamanan nasional dan sektor pertahanan.

Analisis Redaksi

Menurut pandangan redaksi, temuan terbaru ini menegaskan bahwa APT28 masih menjadi ancaman serius dalam ranah spionase siber, terutama di wilayah konflik seperti Ukraina. Penggunaan layanan cloud populer sebagai sarana komunikasi malware memperlihatkan inovasi terus-menerus yang membuat deteksi dan mitigasi serangan semakin sulit dilakukan oleh pihak pertahanan siber.

Selain itu, fakta bahwa framework seperti COVENANT yang sudah dianggap usang dapat diadaptasi ulang secara efektif oleh pelaku ancaman menunjukkan pentingnya pengawasan berkelanjutan atas alat-alat open-source oleh komunitas keamanan. Ini juga membuka potensi risiko terhadap organisasi yang mengabaikan pembaruan ancaman terbaru.

Kedepannya, penting bagi lembaga pertahanan dan keamanan siber di Ukraina maupun negara-negara lain yang berpotensi menjadi target untuk meningkatkan kerja sama intelijen dan memperkuat sistem deteksi berbasis perilaku anomali, terutama terkait penggunaan layanan cloud yang sah sebagai jalur komunikasi tersembunyi oleh malware.

Untuk terus mendapatkan update tentang ancaman siber dan keamanan dunia maya, ikuti kami di Google News, Twitter, dan LinkedIn.