Cadet Blizzard (DEV-0586) er en russisk GRU-sponsoreret trusselsgruppe, som Microsoft begyndte at spore efter forstyrrende og destruktive hændelser, der fandt sted ved flere offentlige bureauer i Ukraine midt i januar 2022. På dette tidspunkt omringede russiske tropper, som blev bakket op af tanks og artilleri, den ukrainske grænse, mens militæret forberedte et offensivt angreb. Ødelæggelsen af vigtige ukrainske institutioners websteder startede sammen med WhisperGate-malwaren flere bølger af angreb fra Seashell Blizzard (IRIDIUM), der fulgte, da det russiske militær begyndte deres offensiv på landjorden en måned senere. De primære målsektorer er statslige organisationer og udbydere af informationsteknologi i Ukraine, men også organisationer i Europa og Latinamerika har været mål. Vi vurderer, at Cadet Blizzard har været i drift i en eller anden kapacitet siden mindst 2020 og fortsætter med at udføre netværksoperationer frem til i dag. Cadet Blizzard kompromitterer og opretholder en tilstedeværelse i påvirkede netværk i flere måneder og udtrækker ofte data før de forstyrrende handlinger. Microsoft observerede, at Cadet Blizzards aktivitet var på sit højeste mellem januar og juni 2022, hvorefter der fulgte en længere periode med reduceret aktivitet.
Gruppen genopstod i januar 2023 med en øget grad af operationer mod flere enheder i Ukraine og Europa, herunder en anden runde af webstedsødelæggelser og en ny "Free Civilian"-telegramkanal, som er knyttet til hack-og-læk-fronten under samme navn, der første gang opstod i januar 2022 på cirka samme tidspunkt som de indledende ødelæggelser. Cadet Blizzard-aktører er aktive syv dage om ugen og har udført deres operationer uden for deres primære europæiske måls normale arbejdstider. Microsoft vurderer, at NATO-medlemslande, der er involveret i at levere militær hjælp til Ukraine, er i større risiko.
