De Russische hackersgroep Secret Blizzard heeft de Kazuar backdoor omgevormd tot een modulair peer-to-peer (P2P) botnet, dat is ontworpen voor langdurige aanwezigheid, stealth en uitgebreide dataverzameling. Deze groep, die wordt gelinkt aan de Russische inlichtingendienst FSB en wiens activiteiten overlappen met die van Turla, Uroburos en Venomous Bear, richt zich op overheids- en diplomatieke organisaties, defensiegerelateerde entiteiten en kritieke infrastructuren in Europa, Azië en Oekraïne.

De Kazuar-malware is sinds 2017 bekend en heeft een codeerafstamming die teruggaat tot 2005. Onderzoekers koppelen de malware aan de Turla-spionagegroep die voor de FSB werkt. In 2020 werd Kazuar ingezet in aanvallen op Europese overheidsorganisaties, en drie jaar later werd het gebruikt in aanvallen op Oekraïne.

Microsoft-onderzoekers analyseerden een recente variant van Kazuar en ontdekten dat de malware nu uit drie modules bestaat: kernel, bridge en worker. De kernelmodule fungeert als centrale coördinator die taken beheert, andere modules aanstuurt, een leider kiest en de communicatie binnen het botnet organiseert. De leider is een geïnfecteerd systeem binnen een netwerksegment dat communiceert met de command-and-control (C2) server, taken ontvangt en deze intern doorgeeft aan andere geïnfecteerde systemen. Niet-leider systemen blijven in een 'stille' modus en communiceren niet rechtstreeks met de C2-server, wat de detectiekans vermindert. Microsoft legt uit dat deze aanpak de zichtbaarheid van het botnet beperkt door het externe verkeer te concentreren via één leider.

De bridge-module fungeert als proxy voor externe communicatie en verzendt verkeer tussen de kernel-leider en de C2-infrastructuur via protocollen als HTTP, WebSockets en Exchange Web Services (EWS). Interne communicatie tussen modules verloopt via inter-process communication (IPC) methoden zoals Windows Messaging, Mailslots en named pipes, waarbij berichten AES-versleuteld en met Google Protocol Buffers (Protobuf) geserialiseerd zijn. De worker-module voert de spionageactiviteiten uit, waaronder keylogging, het maken van screenshots, het verzamelen van bestanden, systeem- en netwerkverkenning, het verzamelen van e-mailgegevens (inclusief Outlook-downloads), het monitoren van vensters en het stelen van recente bestanden. De verzamelde data wordt lokaal versleuteld opgeslagen en later via de bridge-module uit het netwerk geëxfiltreerd.

Kazuar ondersteunt inmiddels 150 configuratie-opties waarmee operators specifieke beveiligingsmaatregelen kunnen omzeilen, taken kunnen plannen, de timing en omvang van datadiefstal kunnen bepalen, procesinjecties kunnen uitvoeren en commando’s kunnen beheren. Onder de bypass-opties bevinden zich onder meer Antimalware Scan Interface (AMSI), Event Tracing for Windows (ETW) en Windows Lockdown Policy (WLDP). Secret Blizzard streeft naar langdurige aanwezigheid op doelwitsystemen om politieke documenten en e-mailinhoud te verzamelen.

Microsoft adviseert organisaties zich te richten op gedragsdetectie in plaats van statische signatures, vanwege de modulaire en configureerbare aard van Kazuar die het een bijzonder moeilijk te detecteren bedreiging maakt.