文章总结： 俄罗斯APT28组织近期重出江湖，将2010年代的经典后门代码翻新为现代间谍工具，并利用云存储作为指挥中心，主要针对乌克兰军方进行长期监控。其核心工具包括源自XAgent的键盘记录器SlimAgent和采用XTunnel混淆技术的Beardshell，结合魔改开源框架Covenant形成双植入策略以提升攻击韧性。防御建议包括监控可疑进程、拦截云存储异常通信及审计敏感行为。 综合评分： 85 文章分类： 威胁情报,恶意软件,漏洞分析,应急响应,红队

俄罗斯APT28重出江湖！用10年前代码改出间谍工具，云存储当指挥中心

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年3月22日 12:00 广东

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

2026年网络安全圈炸出重磅消息：俄罗斯臭名昭著的APT28（又名Sednit、华丽熊）带着全新武器库回归！这个曾黑进美国民主党总部、德国议会的”老牌间谍组织”，沉寂数年后重启高级武器开发，把2010年代的经典后门改造成现代间谍工具，还玩转云存储当指挥中心，专门盯着乌克兰军方搞长期监控，其技术套路堪称”复古+创新”的双重暴击。

一、老代码新用：10年前的后门变身现代间谍神器

APT28最绝的操作，是把2010年代的”祖传代码”拿出来翻新，既省开发力又能规避检测，妥妥的”降本增效式攻击”：

SlimAgent：键盘记录器的”文艺复兴”

  这款2024年在乌克兰政府设备上发现的间谍工具，核心代码居然源自APT28在2012-2018年用的旗舰后门Xagent。不仅数据收集的六步流程完全一致，连日志格式都延续了”应用名蓝色、按键记录红色、窗口名绿色”的奇葩配色方案，堪称代码界的”怀旧风”。更狠的是，它能偷偷记录键盘输入、截取屏幕、偷剪贴板数据，还会加密日志避免被发现，2018年就已在欧洲多国政府设备中潜伏，只是直到2024年才被彻底曝光。

BeardShell：数学公式当”隐身符”

  另一款核心工具BeardShell藏着个十年前的”技术彩蛋”——用了APT28在2013-2016年的网络工具Xtunnel独有的混淆技术。它会嵌入一个无解的数学公式（2/(x²+1)+2=y²+5）当循环条件，这个公式根本没有整数解，循环永远不会执行，纯粹是为了迷惑安全分析师。更牛的是，它能借助云存储Icedrive当通信通道，还能实时适配Icedrive的私有API变化，官方一更新，黑客几小时内就能拿出适配版本，响应速度比正规开发者还快。

二、双保险攻击：云存储+开源框架的组合拳

APT28这次回归搞出了”双 implant 策略”，两款工具搭配使用，断了一个还有另一个，韧性拉满：

Covenant：魔改开源框架当主力

  原本是2019年发布的开源后渗透框架，被APT28改得”面目全非”：不仅给植入物加了固定ID（避免重启后变号），还硬生生加了云存储通信协议，2023年用pCloud、2024-2025年换Koofr、2025年7月又改用Filen，换平台比换衣服还勤。它能支持90多种任务，数据窃取、网络渗透样样在行，乌克兰部分设备被它监控了超过6个月都没被发现。

BeardShell：保底的”备用通信兵”

  主要负责执行PowerShell命令，和Covenant用不同的云存储当指挥中心。万一Covenant的云通道被封，BeardShell就能立刻补位，确保黑客和被控制设备的联系不中断，堪称”双保险”。

三、攻击套路升级：专盯乌克兰，潜伏半年不翻车

APT28这次的攻击目标非常明确——乌克兰军方人员，攻击套路更是精准狠辣：

1. 精准潜伏：通过钓鱼邮件等方式植入工具后，会利用COM劫持等技术实现开机自启，还会限制自己只在特定系统进程中运行，避免被安全软件发现；

2. 长期监控：不会急于窃取数据，而是耐心潜伏，2025年就有乌克兰设备被连续监控超过6个月，军方的作战部署、人员信息可能被全程窃取；

3. 应急响应快：2026年1月，APT28还利用CVE-2026-21509漏洞发起钓鱼攻击，借已知漏洞扩大攻击范围，打了个时间差。

更值得警惕的是，APT28的开发者团队似乎从未解散。2019-2023年期间，他们看似只搞简单的钓鱼攻击，实则在暗中打磨这些高级工具，要么是为俄乌冲突重启了高级开发，要么是一直低调深耕没停过手。

四、防御指南：3招识破”新瓶装旧酒”的攻击

1. 盯紧可疑进程和文件

  重点监控eapphost.dll（SlimAgent）、tcpiphlpsvc.dll（BeardShell）这两个文件，一旦在设备中发现，立刻隔离检查；同时警惕在explorer.exe中运行的陌生DLL，以及taskhost.exe/taskhostw.exe中的异常活动。

2. 拦截云存储通信

  限制设备与Icedrive、Filen、Koofr等云存储的异常通信，尤其是批量上传加密文件的行为，这些可能是黑客在偷传数据。

3. 旧威胁新防御

  不要忽视老牌APT组织的”复古攻击”，定期扫描设备中是否有源自老后门的变体工具，对键盘记录、屏幕截取等敏感行为做严格审计，避免被”十年老代码”偷家。

最后唠两句

APT28的回归再次证明，黑客界也流行”复古风”——老代码经过翻新，照样能成为致命武器。他们用开源框架魔改+云存储通信+老代码翻新的组合拳，既降低了攻击成本，又提升了隐蔽性，给全球安全防御提了个醒：对付老牌APT，既要盯紧新技术，也不能忘了他们的”祖传套路”。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《俄罗斯APT28重出江湖！用10年前代码改出间谍工具，云存储当指挥中心》