Los hackers patrocinados por el estado ruso **Turla** (también conocido como Secret Blizzard) han mejorado significativamente su backdoor **Kazuar**, convirtiéndolo en una sofisticada botnet modular diseñada para el sigilo y la persistencia. **Vínculos de Turla con el FSB** Según la Agencia de Ciberseguridad e Infraestructura de EE. UU. (**CISA**), **Turla** está afiliado al Centro 16 del Servicio Federal de Seguridad de Rusia (**FSB**). El grupo es rastreado bajo varios nombres, incluyendo ATG26, Blue Python, Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, SUMMIT, Uroburos, Venomous Bear, Waterbug y WRAITH. Conocido por atacar sectores gubernamentales, diplomáticos y de defensa en Europa y Asia Central, **Turla** también ataca puntos finales previamente comprometidos por Aqua Blizzard (también conocido como Actinium y Gamaredon) para lograr objetivos estratégicos.  ### La Transformación de Kazuar El equipo de Microsoft Threat Intelligence señaló que esta mejora refleja el objetivo de Secret Blizzard de mantener el acceso a los sistemas a largo plazo para la recopilación de inteligencia. En lugar de depender de herramientas nativas para evadir la detección, **Turla** está integrando la resiliencia y el sigilo directamente en sus herramientas. **Kazuar**, un backdoor escrito en .NET activo desde 2017, ha evolucionado de un marco monolítico a un ecosistema de bot modular. Esta nueva arquitectura presenta tres tipos de componentes distintos: * Kernel * Bridge * Worker Cada módulo tiene un rol específico, lo que permite una configuración flexible, reduce la huella observable y agiliza la ejecución de tareas.  _Visión general de las interacciones de los módulos Kernel, Bridge y Worker_ ### Funciones de los Módulos La distribución del malware se basa en droppers como Pelmeni y ShadowLoader para descifrar y lanzar los módulos. Las funciones principales de cada módulo son: * **Kernel**: El coordinador central, que emite tareas a los módulos Worker, gestiona la comunicación con el Bridge, mantiene registros, realiza comprobaciones anti-análisis y de sandbox, y configura el entorno. La configuración incluye parámetros para la comunicación de comando y control (C2), el momento de la exfiltración de datos, la gestión de tareas, el escaneo de archivos, la recopilación y el monitoreo. * **Bridge**: Actúa como un proxy entre el Kernel y el servidor C2. * **Worker**: Registra las pulsaciones de teclas, intercepta eventos de **Windows**, rastrea tareas y recopila información del sistema, listados de archivos y detalles de la Interfaz de Programación de Aplicaciones de Mensajería (**MAPI**). El módulo Kernel utiliza Windows Messaging, Mailslot y named pipes para la comunicación interna, y Exchange Web Services, HTTP y WebSockets para la comunicación externa. Se elige un único líder Kernel para comunicarse con el módulo Bridge.  _Cómo el líder Kernel coordina las tareas del Worker y utiliza el Bridge_ ### Elección y Comunicación Las elecciones del líder Kernel ocurren a través de Mailslot, basándose en el tiempo de actividad dividido por las interrupciones. El líder elegido se anuncia, dirigiendo a otros módulos Kernel a entrar en modo silencioso. Esto permite que el módulo Kernel líder registre la actividad y solicite tareas a través del módulo Bridge. El módulo también configura un canal de named pipe entre los módulos Kernel y facilita la comunicación Kernel-a-Worker y Kernel-a-Bridge a través de Windows messaging o Mailslot. El Kernel consulta nuevas tareas del servidor C2, analiza mensajes, asigna tareas al Worker, actualiza la configuración y envía los resultados de las tareas de vuelta al servidor. Un manejador de tareas procesa los comandos emitidos por el líder Kernel. Los datos recopilados por el Worker se agregan, cifran y escriben en un directorio de trabajo antes de ser exfiltrados al servidor C2. ### Manejo Organizado de Datos **Kazuar** utiliza un directorio de trabajo dedicado como área de preparación centralizada para sus operaciones internas. Este directorio se define a través de la configuración y utiliza rutas completamente calificadas para evitar ambigüedades. Dentro del directorio de trabajo, **Kazuar** organiza los datos por función, aislando las tareas, la salida de recopilación, los registros y el material de configuración. Este diseño desacopla la ejecución de tareas del almacenamiento y exfiltración de datos, mantiene el estado operativo a través de reinicios y coordina la actividad asíncrona entre módulos al tiempo que minimiza la interacción directa con la infraestructura externa.