Cadet Blizzard (DEV-0586) es un grupo de amenazas ruso financiado por el GRU que Microsoft empezó a rastrear a raíz de eventos perjudiciales y destructivos ocurridos en varias agencias gubernamentales de Ucrania a mediados de enero de 2022. Durante este tiempo, las tropas rusas, apoyadas con tanques y artillería, rodeaban la frontera ucraniana mientras los militares se preparaban para un ataque ofensivo. El fraccionamiento de sitios web de instituciones ucranianas clave, junto con el malware WhisperGate, fue la antesala de múltiples oleadas de ataques de Seashell Blizzard (IRIDIUM) que siguieron cuando el ejército ruso comenzó su ofensiva terrestre un mes después. Los principales sectores objetivo son las organizaciones gubernamentales y los proveedores de tecnología de la información de Ucrania, aunque también se han dirigido a organizaciones de Europa y América Latina. Consideramos que Cadet Blizzard ha estado operativo de algún modo desde al menos 2020 y sigue realizando operaciones de red hasta la actualidad. Cadet Blizzard compromete y mantiene un punto de apoyo en las redes afectadas durante meses, a menudo exfiltrando datos antes de las acciones disruptivas. Microsoft observó un pico de actividad de Cadet Blizzard entre enero y junio de 2022, seguido de un largo periodo de actividad reducida.
El grupo resurgió en enero de 2023 con un aumento de las operaciones contra múltiples entidades en Ucrania y en Europa, incluida otra ronda de fraccionamientos de sitios web y un nuevo canal de Telegram "Free Civilian" afiliado con el frente de hackeo y filtración del mismo nombre que surgió por primera vez en enero de 2022, más o menos al mismo tiempo que los fraccionamientos iniciales. Los actores de Cadet Blizzard están activos los siete días de la semana y han llevado a cabo sus operaciones durante las horas no laborables de sus principales objetivos europeos. Microsoft considera que los estados miembros de la OTAN que prestan ayuda militar a Ucrania corren un mayor riesgo.
