**Secret Blizzard**, conocido por sus vínculos con grupos como **Turla**, **Uroburos** y **Venomous Bear**, se cree que está asociado con el servicio de inteligencia ruso (FSB). El grupo es notorio por atacar entidades gubernamentales y diplomáticas, organizaciones relacionadas con la defensa e infraestructura crítica en Europa, Asia y Ucrania. **Kazuar** ha sido documentado desde 2017, con un linaje de código que se remonta a 2005. Sus actividades se han relacionado con el grupo de espionaje **Turla**, que también se sospecha que trabaja para el FSB. El malware se observó previamente en ataques dirigidos a organizaciones gubernamentales europeas en 2020 y a Ucrania en 2023. ### Nueva Arquitectura de Kazuar Investigadores de **Microsoft** han analizado una variante reciente de **Kazuar**, revelando un diseño modular que consta de tres componentes distintos: Kernel, Bridge y Worker. * **Módulo Kernel**: Sirve como coordinador central, gestionando tareas, controlando otros módulos, eligiendo un nodo líder y orquestando la comunicación y el flujo de datos dentro de la botnet. * **Módulo Bridge**: Actúa como proxy de comunicación externa, retransmitiendo tráfico entre el líder Kernel seleccionado y la infraestructura remota de comando y control (C2). Este módulo soporta protocolos como HTTP, WebSockets y Exchange Web Services (EWS). * **Módulo Worker**: Ejecuta las operaciones de espionaje reales, incluyendo el registro de teclas (keylogging), la captura de capturas de pantalla, la recolección de datos del sistema de archivos, el reconocimiento del sistema y la red, la recolección de datos de correo electrónico/MAPI (incluidas las descargas de **Outlook**), la monitorización de ventanas y la exfiltración de archivos recientes. El proceso de elección del líder es interno y autónomo, basado en métricas como el tiempo de actividad, la frecuencia de reinicio y los recuentos de interrupción. Los sistemas no líderes operan en modo "silencioso", evitando la comunicación directa con el servidor C2 para mejorar el sigilo y reducir la superficie de ataque. "El líder Kernel es el módulo Kernel seleccionado que se comunica con el módulo Bridge en nombre de los otros módulos Kernel, reduciendo la visibilidad al evitar grandes volúmenes de tráfico externo desde múltiples hosts infectados", explica **Microsoft**.  *Diagrama de comunicaciones internas de Kazuar (Fuente: Microsoft)* Las comunicaciones internas se basan en mecanismos de IPC (comunicación entre procesos), incluyendo Windows Messaging, Mailslots y named pipes, mezclándose con la actividad normal del sistema. Los mensajes están cifrados con AES y serializados utilizando Google Protocol Buffers (Protobuf).  *Tipos de información del sistema que Kazuar recopila (Fuente: Microsoft)* **Microsoft** enfatiza la flexibilidad de **Kazuar**, señalando que ahora soporta más de 150 opciones de configuración. Estas opciones permiten a los operadores habilitar/deshabilitar bypasses de seguridad específicos, programar tareas, controlar el momento del robo de datos y los tamaños de los fragmentos de exfiltración, realizar inyección de procesos y gestionar la ejecución de tareas y comandos. Las capacidades de bypass de seguridad ahora incluyen bypass de Antimalware Scan Interface (**AMSI**), bypass de Event Tracing for Windows (**ETW**) y bypass de Windows Lockdown Policy (**WLDP**). ### Estrategias de Mitigación **Secret Blizzard** generalmente busca la persistencia a largo plazo en los sistemas comprometidos para facilitar la recopilación continua de inteligencia, centrándose en documentos y contenido de correo electrónico de importancia política. **Microsoft** aconseja a las organizaciones priorizar los métodos de detección conductual sobre las firmas estáticas, dada la arquitectura modular y la naturaleza altamente configurable de **Kazuar**, lo que lo hace excepcionalmente evasivo.