Cadet Blizzard (DEV-0586) là một nhóm đe dọa do GRU của Nga tài trợ. Microsoft đã bắt đầu theo dõi nhóm này sau khi các sự kiện gây gián đoạn và phá hủy xảy ra tại nhiều cơ quan chính phủ ở Ukraine vào giữa tháng 1 năm 2022. Trong thời gian này, lính Nga được hỗ trợ bởi xe tăng và pháo binh đang bao vây biên giới Ukraine khi quân đội chuẩn bị thực hiện một cuộc tấn công. Hoạt động phá hoại website của các tổ chức quan trọng tại Ukraine, cùng với phần mềm xấu WhisperGate, đã khơi mào nhiều đợt tấn công của Seashell Blizzard (IRIDIUM) sau khi quân đội Nga bắt đầu chiến dịch tấn công trên bộ một tháng sau đó. Đối tượng mục tiêu chính bao gồm các tổ chức chính phủ và nhà cung cấp công nghệ thông tin ở Ukraine, tuy vậy thì các tổ chức ở châu Âu và châu Mỹ La-tinh cũng bị nhắm đến. Chúng tôi đánh giá rằng Cadet Blizzard đã hoạt động theo một hình thức nào đó ít nhất từ năm 2020 và tiếp tục thực hiện các hoạt động trên mạng cho đến hiện tại. Cadet Blizzard xâm phạm và duy trì sự hiện diện trên các mạng bị ảnh hưởng trong nhiều tháng. Chúng thường trích rút dữ liệu trước khi thực hiện các hành động gây gián đoạn. Microsoft đã quan sát thấy hoạt động của Cadet Blizzard đạt đỉnh từ tháng 1 đến tháng 6 năm 2022, sau đó là một thời gian dài giảm hoạt động.
Nhóm này tái xuất hiện vào tháng 1 năm 2023 với các hoạt động gia tăng nhằm chống lại nhiều tổ chức tại Ukraine và châu Âu, trong đó có một đợt phá hoại website khác và một kênh Telegram mới tên là “Free Civilian”. Cái tên này có liên hệ với mặt trận xâm nhập và rò rỉ có cùng tên, xuất hiện lần đầu tiên vào tháng 1 năm 2022, cùng thời điểm với các vụ phá hoại ban đầu. Các tác nhân Cadet Blizzard hoạt động cả bảy ngày trong tuần và tiến hành hoạt động vào ngoài giờ làm việc của các đối tượng mục tiêu chính tại châu Âu. Microsoft đánh giá rằng các quốc gia thành viên của NATO tham gia cung cấp viện trợ quân sự cho Ukraine có nguy cơ bị tấn công cao hơn.
