Cadet Blizzard (DEV-0586) ist eine vom russischen Militärgeheimdienst (GRU) gesponserte Bedrohungsgruppe, die Microsoft seit beeinträchtigenden und destruktiven Ereignissen gegen mehrere Regierungsbehörden Mitte Januar 2022 beobachtet. Damals standen russische Truppen mit Panzern und Artillerie an der ukrainischen Grenze und bereiteten sich auf einen offensiven Angriff vor. Die Verunstaltung (Defacement) der Websites wichtiger ukrainischer Institutionen und die WhisperGate-Schadsoftware bildeten den Auftakt zu mehreren Angriffswellen durch Seashell Blizzard (IRIDIUM) , die einen Monat später folgten, als das russische Militär seine Bodenoffensive begann. Zu den wichtigsten Zielsektoren gehören Regierungsorganisationen und Anbieter von Informationstechnologie in der Ukraine, aber auch Organisationen in Europa und Lateinamerika wurden ins Visier genommen. Wir gehen davon aus, dass Cadet Blizzard mindestens seit 2020 in der einen oder anderen Form aktiv ist und auch weiterhin Netzaktivitäten durchführt. Cadet Blizzard kompromittiert die betroffenen Netzwerke, hält den Zugang monatelang aufrecht und exfiltriert oft schon vor Störaktionen Daten. Microsoft hat zwischen Januar und Juni 2022 einen Höhepunkt der Aktivität von Cadet Blizzard beobachtet, gefolgt von einer längeren Phase geringerer Aktivität.
Die Gruppe tauchte im Januar 2023 mit verstärkten Angriffen auf mehrere Einrichtungen in der Ukraine und in Europa wieder auf, darunter weitere Website-Defacements und ein neuer Telegram-Kanal namens "Free Civilian", der mit der gleichnamigen Hack- und Leak-Front in Verbindung steht, die erstmals im Januar 2022, etwa zur gleichen Zeit wie die ersten Defacements, in Erscheinung getreten war. Die Akteure von Cadet Blizzard sind an allen Wochentagen aktiv und führten ihre Operationen außerhalb der Geschäftszeiten ihrer primären europäischen Ziele durch. Microsoft geht davon aus, dass NATO-Mitgliedsstaaten, die der Ukraine militärische Hilfe leisten, einem erhöhten Risiko ausgesetzt sind.
