O Cadet Blizzard (DEV-0586) é um grupo de ameaças financiado pela Diretoria Principal de Inteligência (GRU) russa que a Microsoft começou a monitorizar depois de eventos disruptivos e destrutivos ocorrerem em múltiplas agências governamentais na Ucrânia em meados de janeiro de 2022. Durante este período, tropas russas apoiadas por tanques e artilharia rodeavam a fronteira ucraniana enquanto as forças armadas se preparavam para um ataque. Os desfiguramentos de sites de instituições ucranianas fundamentais, juntamente com o malware WhisperGate, antecederam múltiplas vagas de ataques pelo Seashell Blizzard (IRIDIUM) que se sucederam quando as forças armadas russas começaram a ofensiva terrestre um mês depois. Os principais setores visados incluem organizações governamentais e fornecedores de tecnologias de informação na Ucrânia, embora também tenham sido visadas organizações na Europa e na América Latina. Consideramos que o Cadet Blizzard está operacional, de alguma forma, desde pelo menos 2020 e continua a efetuar operações de rede até ao presente dia. O Cadet Blizzard compromete e mantém uma presença em redes afetadas durante meses, muitas vezes transferindo dados antes de ações disruptivas. A Microsoft observou a atividade do Cadet Blizzard a atingir um pico entre janeiro e junho de 2022, seguido de um longo período de atividade reduzida.
O grupo ressurgiu em janeiro de 2023 com um maior número de operações contra múltiplas entidades na Ucrânia e na Europa, incluindo outra ronda de desfiguramentos de sites e um novo canal de Telegram “Civil Livre” afiliado com a frente de hacking e divulgação com o mesmo nome que surgiu pela primeira vez em janeiro de 2022, por volta da mesma altura que os desfiguramentos iniciais. Os atores do Cadet Blizzard estão ativos sete dias da semana e realizaram as suas operações fora do horário de expediente principal dos seus alvos europeus. A Microsoft avalia que os estados membros da OTAN envolvidos no fornecimento de ajuda militar à Ucrânia estão em maior risco.
