O grupo Turla, associado à Rússia, evoluiu o backdoor Kazuar para uma botnet modular com comunicação peer-to-peer, projetada para manter acesso furtivo e persistente em sistemas comprometidos. A mudança foi detalhada pela Microsoft em uma nova análise de inteligência de ameaças.
O Turla, também é ligado a operações de espionagem contra governos, entidades diplomáticas e setores de defesa, especialmente na Europa e na Ásia Central. O grupo é associado pela CISA ao Centro 16 do FSB russo.
O Kazuar é uma ferramenta .NET usada pelo grupo desde 2017. Antes descrito como um framework mais monolítico, o malware agora foi reorganizado em uma arquitetura modular formada por três tipos principais de componentes: Kernel, Bridge e Worker.
O módulo Kernel funciona como coordenador central da botnet. Ele gerencia tarefas, comunicação interna, logs, verificações anti-análise, configurações de comando e controle, coleta de arquivos, exfiltração de dados e interação com os demais módulos.
A arquitetura permite que múltiplos módulos Kernel se comuniquem entre si por Windows Messaging, Mailslot e named pipes. Em seguida, um deles é eleito como líder para coordenar tarefas e se comunicar com o Bridge, enquanto os demais operam em modo silencioso.
Essa lógica reduz a exposição da infraestrutura dos invasores, limita o tráfego direto com servidores externos e aumenta a resiliência da operação. Mesmo após reinicializações ou interrupções, o malware consegue manter estado, reorganizar tarefas e retomar atividades.
