Auf den Punkt: Das modernisierte Kazuar-Botnet nutzt ein drei-teiliges Modulsystem, das externe Kommunikation minimiert und interne Netzwerkkommunikation verschleiert, um Erkennungshürden zu erhöhen.
Die russische Hackergruppe Secret Blizzard hat ihre seit Jahren eingesetzte Kazuar-Backdoor zu einem modular aufgebauten Peer-to-Peer-Botnet weiterentwickelt, das auf lange Persistenz, Stealth-Fähigkeiten und Datenabfluss ausgerichtet ist. Das Malware-Modell folgt einer dezentralen Architektur, bei der nur eine Maschine pro Netzwerksegment direkt mit dem Kommandoserver kommuniziert.
Secret Blizzard gilt als FSB-nahestehend und wird mit den Gruppen Turla, Uroburos und Venomous Bear assoziiert. Sie richtet sich gegen Regierungsorganisationen, diplomatische Einrichtungen, Verteidigungsbehörden und kritische Infrastruktur in Europa, Asien und der Ukraine. Die Kazuar-Malware ist seit 2017 öffentlich dokumentiert, ihre Code-Geschichte reicht aber bis mindestens 2005 zurück. Die Turla-Gruppe, die im Auftrag des FSB tätig ist, wird mit Kazuar-Angriffen verbunden. 2020 wurden Einsätze gegen europäische Regierungsnetze nachgewiesen, 2023 kam es zu Angriffen auf Ukraine-Ziele.
Forscher von Microsoft haben eine neuere Kazuar-Variante analysiert, die nun über drei separate Module funktioniert: Kernel, Bridge und Worker. Das Kernel-Modul fungiert als zentaler Koordinator, verwaltet Aufgaben, kontrolliert die anderen Module, wählt einen Leader und steuert Kommunikation und Datenaustausch. Der Leader ist typischerweise ein kompromittierter Host im infizierten Netzwerk; er kommuniziert mit dem Command-and-Control-Server, erhält Befehle und verteilt sie an andere befallene Systeme. Nicht-Leader-Systeme wechseln in den „Silent”-Modus und kommunizieren nicht direkt mit dem C2, was die Stealth erheblich verbessert und den Erkennungs-Footprint reduziert.
Die Leader-Wahl läuft vollständig autonom innerhalb des Netzes ab und basiert auf Faktoren wie Uptime, Neustart-Häufigkeit und Unterbrechungszählern. Das Bridge-Modul agiert als Proxy für externe Kommunikation und leitet Datenverkehr zwischen dem Kernel-Leader und der Remote-C2-Infrastruktur über Protokolle wie HTTP, WebSockets oder Exchange Web Services (EWS) weiter. Interne Kommunikation nutzt IPC-Mechanismen wie Windows Messaging, Mailslots und Named Pipes, die sich nahtlos in typische Systemaktivität einfügen. Nachrichten werden mit AES verschlüsselt und mittels Google Protocol Buffers (Protobuf) serialisiert.
Das Worker-Modul führt die eigentlichen Spionage-Aufgaben durch, einschließlich Keystroke Logging. Durch die Aufteilung in funktionsspezifische Module wird nicht nur die Flexibilität erhöht, sondern auch das Risiko minimiert, dass ein einzelnes Modul-Update alle infizierten Systeme kompromittiert – ein klassisches Botnet-Design-Problem.
Quelle: ainews-dev.lumi-systems.io · Erschienen 17. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.