🔍 Contexte

Publié le 22 mai 2026 par PolySwarm (The Hivemind), cet article s’appuie sur une analyse de Microsoft pour décrire l’évolution significative du malware Kazuar, associé à l’acteur étatique russe Secret Blizzard (alias Turla, Venomous Bear, Uroburos, Snake). L’analyse couvre des campagnes ciblant l’Europe, l’Asie centrale et l’Ukraine.

🎯 Cibles

Les secteurs visés incluent :

  • Gouvernements et ministères des affaires étrangères
  • Organisations diplomatiques et ambassades
  • Secteur de la défense et contractants
  • Institutions de recherche

🧩 Architecture modulaire de Kazuar

Kazuar a abandonné sa structure monolithique pour un écosystème modulaire composé de trois types de modules :

  • Kernel : coordinateur opérationnel, gestion des tâches, communications, anti-analyse (vérification de processus, fichiers canaris, DLL sandbox)
  • Bridge : proxy de communication externe vers l’infrastructure C2 (HTTP, WebSockets, Exchange Web Services)
  • Worker : exécution des tâches opérationnelles (keylogging, captures d’écran, collecte filesystem, surveillance MAPI, reconnaissance système)

La configuration supporte environ 150 options couvrant transport, injection, contournements AMSI/WLDP/ETW, exfiltration, et surveillance.

🗳️ Élection de leader et mode SILENT

Une innovation clé est le modèle d’élection de leader : un seul module Kernel est élu leader et assure les communications externes via le Bridge. Les autres instances entrent en mode SILENT et cessent toute communication externe. L’élection s’effectue via Mailslot IPC sur la base de métriques de stabilité (uptime). Le leader distribue les tâches aux clients via des named pipes chiffrés, minimisant le trafic réseau observable.

📦 Livraison et exécution

  • Le dropper Pelmeni embarque un payload chiffré comme tableau d’octets, parfois lié cryptographiquement à l’environnement cible (hostname)
  • Un loader .NET léger configuré comme objet COM déchiffre et exécute le payload en mémoire, réduisant les artefacts disque

💾 Staging et persistance

Kazuar maintient un répertoire de travail dédié structuré par fonction (tâches, résultats, logs, keylogger, fichiers collectés, hashes, configuration), préservant l’état opérationnel entre redémarrages et changements de leader.

🔗 Communications IPC et externes

  • IPC interne : Window Messaging, Mailslots, named pipes
  • Communications externes : HTTP, WebSockets, Exchange Web Services
  • Utilisation de Google Protocol Buffers (Protobuf) pour le routage inter-modules

🏷️ Attribution

Secret Blizzard est attribué par la CISA au Centre 16 du FSB russe, responsable du renseignement sur les signaux et des opérations sur les réseaux informatiques.

📋 Type d’article

Il s’agit d’une analyse technique de menace publiée par PolySwarm, visant à documenter l’évolution architecturale de Kazuar et à fournir des IOCs exploitables pour les équipes de sécurité.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1587.001 — Develop Capabilities: Malware (Resource Development)
  • T1055 — Process Injection (Defense Evasion)
  • T1573 — Encrypted Channel (Command and Control)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1071.003 — Application Layer Protocol: Mail Protocols (Command and Control)
  • T1056.001 — Input Capture: Keylogging (Collection)
  • T1113 — Screen Capture (Collection)
  • T1005 — Data from Local System (Collection)
  • T1074.001 — Data Staged: Local Data Staging (Collection)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1497 — Virtualization/Sandbox Evasion (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1559 — Inter-Process Communication (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1547.015 — Boot or Logon Autostart Execution: COM Object Hijacking (Persistence)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)

IOC

  • SHA256 : 69908f05b436bd97baae56296bf9b9e734486516f9bb9938c2b8752e152315d4VT · MalwareBazaar
  • SHA256 : c1f278f88275e07cc03bd390fe1cbeedd55933110c6fd16de4187f4c4aaf42b9VT · MalwareBazaar
  • SHA256 : 6eb31006ca318a21eb619d008226f08e287f753aec9042269203290462eaa00dVT · MalwareBazaar
  • SHA256 : 436cfce71290c2fc2f2c362541db68ced6847c66a73b55487e5e5c73b0636c85VT · MalwareBazaar

Malware / Outils

  • Kazuar (backdoor)
  • Pelmeni (loader)

🟢 Indice de vérification factuelle : 70/100 (haute)

  • ⬜ blog.polyswarm.io — source non référencée (0pts)
  • ✅ 12279 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 4 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 3/3 IOCs confirmés (MalwareBazaar, ThreatFox, VirusTotal) (15pts)
  • ✅ 16 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Secret Blizzard (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 69908f05b436bd97… (sha256) → VT (49/76 détections)
  • c1f278f88275e07c… (sha256) → VT (53/76 détections)
  • 6eb31006ca318a21… (sha256) → VT (50/76 détections)

🔗 Source originale : https://blog.polyswarm.io/kazuar-evolves-from-backdoor-to-resilient-espionage-ecosystem