O Cadet Blizzard (DEV-0586) é um grupo de ameaças patrocinado pelo GRU russo que a Microsoft começou a rastrear após eventos disruptivos e destrutivos que ocorreram em várias agências governamentais na Ucrânia em meados de janeiro de 2022. Durante este tempo, as tropas russas apoiadas por tanques e artilharia cercavam a fronteira ucraniana enquanto os militares se preparavam para um ataque ofensivo. As desfigurações dos sites das principais instituições ucranianas, juntamente com o malware WhisperGate, precederam várias ondas de ataques da Seashell Blizzard (IRIDIUM) que se seguiram quando os militares russos iniciaram sua ofensiva terrestre um mês depois. Os principais setores visados incluem organizações governamentais e provedores de tecnologia da informação na Ucrânia, embora organizações na Europa e na América Latina também tenham sido visadas. Avaliamos que o Cadet Blizzard está operacional com alguma capacidade pelo menos desde 2020 e continua a realizar operações de rede até o presente. O Cadet Blizzard compromete e mantém um ponto de apoio nas redes afetadas por meses, muitas vezes exfiltrando dados antes das ações de interrupção. A Microsoft observou o pico de atividade do Cadet Blizzard entre janeiro e junho de 2022, seguido por um longo período de atividade reduzida.
O grupo ressurgiu em janeiro de 2023 com o aumento das operações contra várias entidades na Ucrânia e na Europa, incluindo outra rodada de desfigurações de sites e um novo canal do Telegram "Free Civilian" afiliado à frente de hackers e vazamentos com o mesmo nome que surgiu pela primeira vez em janeiro de 2022, mais ou menos na mesma época das desfigurações iniciais. Os atores da Cadet Blizzard estão ativos sete dias por semana e conduziram suas operações durante o horário de folga de seus principais alvos europeus. A Microsoft avalia que os países membros da OTAN envolvidos no fornecimento de ajuda militar à Ucrânia correm um risco maior.
