Cadet Blizzard (DEV-0586) er en russisk GRU-sponset trusselgruppe som Microsoft begynte å følge etter de forstyrrende og ødeleggende hendelsene som skjedde hos flere offentlige etater, midt i januar i 2022. I løpet av denne perioden omringet russiske styrker, støttet av stridsvogner og artilleri, den ukrainske grensen, mens militæret forberedte seg på et offensivt angrep. Ødeleggelsen av nettstedene til viktige ukrainske institusjoner kombinert med WhisperGate-programvaren, innledet flere angrepsbølger av Seashell Blizzard (IRIDIUM) som fulgte når det russiske militæret begynte bakkeoffensiven en måned senere. Primært målrettede sektorer inkluderer offentlige organisasjoner og leverandører av informasjonsteknologi i Ukraina, selv om organisasjoner i Europa og Latin-Amerika også er mål. Vi estimerer at Cadet Blizzard har vært i drift med en viss kapasitet siden minst 2020, og fortsetter å utføre nettverksoperasjoner fremover. Cadet Blizzard kompromitterer og vedlikeholder et fotfeste i berørte nettverk i flere måneder, og eksfiltrerer ofte data i forkant av forstyrrende handlinger. Microsoft observerte Cadet Blizzards aktivitet øke mellom januar og juni 2022, etterfulgt av en lengre periode med redusert aktivitet.
Gruppen dukket opp igjen i januar 2023 med økte operasjoner mot flere instanser i Ukraina og i Europa, inkludert en ny runde med nettstedsødeleggelser og en ny «Free Civilian» Telegram-kanal tilknyttet hack-and-leak-fronten under samme navn som først oppstod i januar 2022, rundt samme tid som de opprinnelige ødeleggelsene. Cadet Blizzard-aktører er aktive syv dager i uka og har utført operasjonene sine utenfor arbeidstiden til de primære europeiske målene. Microsoft mener NATO-medlemsstater som er involvert i å gi militærhjelp til Ukraina, er i større fare.
