Cadet Blizzard (DEV-0586) è un gruppo di minacce sponsorizzato dall'intelligence militare russa (GRU) che Microsoft ha iniziato a tracciare in seguito agli eventi destabilizzanti e distruttivi riscontrati in più agenzie governative in Ucraina a metà gennaio del 2022. In quel periodo, truppe russe con carri armati e artiglieria circondavano il confine ucraino mentre l'esercito si preparava a sferrare un'offensiva. Le violazioni dei principali siti Web istituzionali ucraini, unite al malware WhisperGate, hanno preceduto più ondate di attacchi da parte di Seashell Blizzard (IRIDIUM) quando l'esercito russo ha iniziato l'offensiva via terra un mese dopo. I settori principalmente colpiti sono le organizzazioni governative e i provider di servizi IT in Ucraina, anche se sono state colpite anche organizzazioni in Europa e America Latina. Valutiamo che Cadet Blizzard sia operativo da almeno il 2020 e continui a eseguire operazioni di rete tutt'oggi. Cadet Blizzard compromette e mantiene un punto di appoggio nelle reti colpite per mesi, spesso esfiltrando i dati prima di azioni distruttive. Microsoft ha osservato un picco di attività di Cadet Blizzard tra gennaio e giugno del 2022, seguito da un lungo periodo di attività ridotta.
Il gruppo è riemerso a gennaio del 2023 con più operazioni contro molte entità in Ucraina e in Europa, aggiungendo un'altra fase di violazioni di siti Web e un nuovo canale Telegram "Free Civilian" affiliato al fronte hack-and-leak sotto lo stesso nome comparso per la prima volta a gennaio del 2022, nello stesso periodo delle violazioni iniziali. Gli attori di Cadet Blizzard sono attivi sette giorni su sette e hanno condotto le loro operazioni nelle principali ore non lavorative dei loro target europei. Microsoft ritiene che gli stati membri della NATO che forniscono sostegno militare all'Ucraina sono maggiormente a rischio.
