Cadet Blizzard (DEV-0586) este o grupare de amenințare sponsorizată de GRU din Rusia, pe care Microsoft a început s-o monitorizeze în urma evenimentelor perturbatoare și distructive care au avut loc în mai multe agenții guvernamentale din Ucraina la mijlocul lunii ianuarie 2022. În acest timp, trupele rusești însoțite de tancuri și artilerie au înconjurat frontiera ucraineană, în timp ce armata se pregătea pentru un atac ofensiv. Vandalizarea site-urilor web ale principalelor instituții ucrainene, împreună cu malware-ul WhisperGate, au precedat numeroasele valuri de atacuri ale grupării Seashell Blizzard (IRIDIUM) apărute după ce armata rusă și-a început ofensiva terestră cu o lună mai târziu. Principalele sectoare de activitate vizate sunt organizațiile guvernamentale și furnizorii de tehnologia informației din Ucraina, deși au fost vizate și organizații din Europa și America Latină. Estimăm că Cadet Blizzard a funcționat într-o anumită măsură cel puțin din 2020 și continuă să efectueze și în prezent diverse operațiuni în rețea. Cadet Blizzard compromite și menține controlul asupra rețelelor afectate timp de luni de zile, exfiltrând adesea date înainte de acțiunile perturbatoare. Microsoft a observat nivelul maxim al activității grupării Cadet Blizzard între ianuarie și iunie 2022, fiind urmat de o perioadă extinsă de activitate redusă.
Grupul a reapărut în ianuarie 2023 cu operațiuni sporite împotriva mai multor entități din Ucraina și din Europa, inclusiv o altă rundă de vandalizări de site-uri web și un nou canal de Telegram „Free Civilian” (Cetățean liber) afiliat la frontul de hacking și scurgere de date cu același nume care a apărut pentru prima dată în ianuarie 2022, aproximativ simultan cu vandalizările inițiale. Actorii din Cadet Blizzard sunt activi șapte zile pe săptămână și și-au desfășurat operațiunile în timpul orelor de lucru ale țintelor lor principale din Europa. Microsoft estimează că statele membre NATO implicate în furnizarea de ajutor militar Ucrainei sunt expuse unui risc mai mare.
