Microsoft zufolge gliedert sich die neue Kazuar-Variante in drei Module: Kernel, Bridge und Worker. Das Kernel-Modul ist der zentrale Koordinator. Es verwaltet Aufgaben, steuert die übrigen Module, wählt einen Anführer und organisiert Kommunikation und Datenfluss innerhalb des Botnetzes.
Als Anführer fungiert dabei ein einzelnes infiziertes System innerhalb einer kompromittierten Umgebung oder eines Netzsegments. Dieses System kommuniziert mit dem Command-and-Control-Server (C2), empfängt Aufgaben und leitet sie intern an die übrigen infizierten Rechner weiter. Alle anderen Systeme gehen in einen „stillen" Modus über und sprechen nicht direkt mit dem C2. Laut Microsoft ist „der Kernel-Anführer das eine gewählte Kernel-Modul, das im Namen der übrigen Kernel-Module mit dem Bridge-Modul kommuniziert und so die Sichtbarkeit verringert, indem großvolumiger externer Datenverkehr von mehreren infizierten Hosts vermieden wird". Die Wahl des Anführers erfolgt intern und autonom anhand von Betriebszeit sowie der Zahl von Neustarts und Unterbrechungen.
Das Bridge-Modul dient als Proxy für die externe Kommunikation und vermittelt den Datenverkehr zwischen dem gewählten Kernel-Anführer und der entfernten C2-Infrastruktur. Dabei kommen Protokolle wie HTTP, WebSockets oder Exchange Web Services (EWS) zum Einsatz. Die interne Kommunikation stützt sich auf Methoden der Interprozesskommunikation, darunter Windows Messaging, Mailslots und Named Pipes, die sich in den normalen Betriebsverkehr einfügen. Die Nachrichten sind AES-verschlüsselt und mit Google Protocol Buffers (Protobuf) serialisiert.
Das Worker-Modul führt die eigentlichen Spionageoperationen aus. Die gesammelten Daten werden verschlüsselt, lokal zwischengelagert und später über das Bridge-Modul abgezogen.
Microsoft betont die Vielseitigkeit von Kazuar, das inzwischen 150 Konfigurationsoptionen unterstützt. Damit lassen sich unter anderem einzelne Sicherheitsumgehungen aktivieren oder deaktivieren, Aufgaben planen, Zeitpunkt und Größe der Datenabflüsse steuern, Prozessinjektionen durchführen sowie Aufgaben und Befehlsausführung verwalten. Bei den Sicherheitsumgehungen bietet Kazuar nun das Umgehen von Antimalware Scan Interface (AMSI), Event Tracing for Windows (ETW) und Windows Lockdown Policy (WLDP).
Secret Blizzard strebt typischerweise dauerhafte Persistenz auf den Zielsystemen an, um Informationen zu sammeln, und zieht dabei Dokumente und E-Mail-Inhalte von politischer Bedeutung ab. Microsoft empfiehlt Unternehmen, ihre Verteidigung auf verhaltensbasierte Erkennung statt auf statische Signaturen auszurichten, da die modulare und stark konfigurierbare Bauweise von Kazuar die Bedrohung besonders schwer fassbar macht.