Die neue Kazuar-Variante funktioniert nach einem cleveren Prinzip: Ein zentrales Kernel-Modul orchestriert alle Aktivitäten im kompromittierten Netzwerk. Ein automatisch gewählter „Leader” unter den infizierten Systemen kommuniziert mit den Command-and-Control-Servern (C2). Die übrigen Systeme versetzen sich in einen passiven “Silent Mode”, in dem sie keine direkte Verbindung nach außen aufbauen. Dies reduziert die Erkennungsfläche erheblich – ein strategischer Vorteil für Langzeit-Spionage.
Das Bridge-Modul fungiert als Vermittler zwischen dem Kernel-Leader und der C2-Infrastruktur und nutzt Protokolle wie HTTP, WebSockets oder Microsoft Exchange Web Services (EWS). Interne Kommunikation läuft über Windows-Messaging, Mailslots und Named Pipes – Methoden, die sich nahtlos in normalen Betriebsverkehr einweben. Alle Nachrichten werden mit AES verschlüsselt und mit Google Protocol Buffers serialisiert.
Das Worker-Modul führt die eigentliche Spionage durch: Dateiexfiltration, Bildschirmaufnahmen, Tastatureingaben und Emailsammlung. Besonders bemerkenswert ist die Konfigurierbarkeit: 150 verschiedene Optionen ermöglichen es den Angreifern, Antimalware Scan Interface (AMSI), Event Tracing for Windows (ETW) und Windows Lockdown Policy (WLDP) zu umgehen.
Die Secret Blizzard-Gruppe zielt systematisch auf Dokumente und Emails mit politischem Gewicht ab – ein klassisches Muster der FSB-gestützten Spionage. Die Verbindung zu Turla, Uroburos und Venomous Bear zeigt die organisatorische Verflechtung russischer APT-Gruppen.
Microsoft empfiehlt Unternehmen, sich auf verhaltensbasierte Detektion statt statischer Signaturen zu konzentrieren. Kazuars modulare Architektur macht sie besonders schwer zu fassen. Netzwerk-Segmentierung, Monitoring ungewöhnlicher interner Kommunikationsmuster und erweiterte Endpoint-Detection sind essentiell. Deutsche Organisationen sollten ihre Incident-Response-Pläne aktualisieren und BSI-Empfehlungen zur APT-Abwehr befolgen.