**Secret Blizzard**, conhecido por suas sobreposições com grupos como **Turla**, **Uroburos** e **Venomous Bear**, acredita-se que esteja associado ao serviço de inteligência russo (FSB). O grupo é notório por visar entidades governamentais e diplomáticas, organizações relacionadas à defesa e infraestrutura crítica na Europa, Ásia e Ucrânia. O **Kazuar** é documentado desde 2017, com sua linhagem de código remontando a 2005. Suas atividades foram ligadas ao grupo de espionagem **Turla**, que também é suspeito de trabalhar para o FSB. O malware foi observado anteriormente em ataques visando organizações governamentais europeias em 2020 e a Ucrânia em 2023. ### Nova Arquitetura do Kazuar Pesquisadores da **Microsoft** analisaram uma variante recente do **Kazuar**, revelando um design modular composto por três componentes distintos: Kernel, Bridge e Worker. * **Módulo Kernel**: Serve como o coordenador central, gerenciando tarefas, controlando outros módulos, elegendo um nó líder e orquestrando a comunicação e o fluxo de dados dentro da botnet. * **Módulo Bridge**: Atua como o proxy de comunicação externa, retransmitindo o tráfego entre o líder Kernel eleito e a infraestrutura remota de comando e controle (C2). Este módulo suporta protocolos como HTTP, WebSockets e Exchange Web Services (EWS). * **Módulo Worker**: Executa as operações de espionagem reais, incluindo keylogging, captura de tela, coleta de dados do sistema de arquivos, reconhecimento de sistema e rede, coleta de dados de e-mail/MAPI (incluindo downloads do **Outlook**), monitoramento de janelas e exfiltração de arquivos recentes. O processo de eleição do líder é interno e autônomo, baseado em métricas como tempo de atividade, frequência de reinicialização e contagem de interrupções. Sistemas não líderes operam em modo "silencioso", evitando comunicação direta com o servidor C2 para aumentar a furtividade e reduzir a superfície de ataque. "O líder Kernel é o módulo Kernel eleito que se comunica com o módulo Bridge em nome dos outros módulos Kernel, reduzindo a visibilidade ao evitar grandes volumes de tráfego externo de múltiplos hosts infectados", explica a **Microsoft**.  *Diagrama de comunicação interna do Kazuar (Fonte: Microsoft)* A comunicação interna depende de mecanismos de IPC (inter-process communication), incluindo Windows Messaging, Mailslots e named pipes, misturando-se à atividade normal do sistema. As mensagens são criptografadas com AES e serializadas usando Google Protocol Buffers (Protobuf).  *Tipos de informações do sistema que o Kazuar coleta (Fonte: Microsoft)* A **Microsoft** enfatiza a flexibilidade do **Kazuar**, observando que ele agora suporta mais de 150 opções de configuração. Essas opções permitem que os operadores ativem/desativem bypasses de segurança específicos, agendem tarefas, controlem o tempo de roubo de dados e os tamanhos dos blocos de exfiltração, realizem injeção de processos e gerenciem a execução de tarefas e comandos. As capacidades de bypass de segurança agora incluem bypass do Antimalware Scan Interface (**AMSI**), bypass do Event Tracing for Windows (**ETW**) e bypass do Windows Lockdown Policy (**WLDP**). ### Estratégias de Mitigação O **Secret Blizzard** geralmente visa a persistência de longo prazo em sistemas comprometidos para facilitar a coleta contínua de inteligência, focando em documentos e conteúdo de e-mail de significância política. A **Microsoft** aconselha as organizações a priorizarem métodos de detecção comportamental em vez de assinaturas estáticas, dada a arquitetura modular e a natureza altamente configurável do **Kazuar**, que o torna excepcionalmente evasivo.