Le renseignement russe fait évoluer son malware fétiche depuis 2005. Microsoft vient de documenter sa dernière mue, et elle est redoutable : un botnet pair-à-pair où un seul nœud parle au monde extérieur.
Les botnets font rarement dans la discrétion. Aisuru, recordman du DDoS à 31,4 Tb/s en décembre dernier, ou Kimwolf et ses 1,7 milliard de commandes en trois jours, cherchent la puissance brute et le volume. Kazuar fait exactement le contraire. Le 14 mai 2026, Microsoft Threat Intelligence a publié une analyse de fond sur la dernière itération de ce malware attribué au groupe Secret Blizzard (alias Turla, Venomous Bear, Uroburos), lui-même rattaché au Centre 16 du FSB russe par la CISA américaine. Ce qui en ressort tient en une phrase : le FSB a transformé une backdoor vieille de 21 ans en réseau d'espionnage pair-à-pair capable de ne faire presque aucun bruit sur un réseau d'entreprise.
Trois modules, un seul leader, zéro bavardage inutile
L'architecture décrite par Microsoft repose sur trois composants déployés sur chaque machine infectée. Le module Kernel coordonne l'ensemble : il distribue les tâches, gère les 150 paramètres de configuration (méthode d'exécution, persistance, timing d'exfiltration, contournement des protections Windows comme AMSI et ETW) et applique les techniques d'évasion anti-sandbox. Le module Worker, lui, s'occupe de la collecte effective : logiciels installés, historique du navigateur, documents récents, données Outlook, clés USB, partages réseau, frappes clavier et captures d'écran. Le tout est chiffré en AES et stocké localement en attendant l'exfiltration. Jusque-là, rien de radicalement nouveau pour un outil d'espionnage étatique.
C'est le troisième composant, le Bridge, qui change la donne. Sur un réseau d'entreprise compromis, les modules Bridge de chaque machine infectée procèdent à une élection de leader (un mécanisme qu'on rencontre habituellement dans les systèmes distribués, pas dans les malwares). Un seul nœud est désigné pour communiquer avec le serveur de commande distant. Tous les autres restent silencieux, se contentant de relayer leurs données vers le leader via des canaux internes (Windows Messaging, named pipes, Mailslots) en utilisant la sérialisation Protocol Buffers de Google. Le trafic sortant passe par trois protocoles au choix : HTTP classique, WebSockets ou Exchange Web Services, ce dernier permettant de se fondre dans le flux légitime d'un serveur Exchange d'entreprise.
En pratique, cela signifie que sur un réseau de 200 postes compromis, un seul génère du trafic C2 détectable. Les 199 autres sont invisibles pour les outils de supervision réseau. La comparaison avec les botnets « bruyants » qu'on a l'habitude de documenter montre l'écart : Aisuru et Kimwolf, partiellement neutralisés en mars 2026, comptaient chacun des centaines de milliers de nœuds communicant en permanence avec leurs serveurs C2. Kazuar, lui, opère comme un sous-marin : il ne remonte à la surface que par un périscope unique.
2005-2026 : chronique d'un malware qui survit à tout
La généalogie de Kazuar est aussi longue que celle d'une dynastie czarienne. Microsoft et les chercheurs de Palo Alto Unit 42 tracent ses premières lignes de code jusqu'en 2005. C'est en 2017 que Unit 42 l'a documenté publiquement pour la première fois sous le nom « Kazuar » (un jeu de mots sur le casowar, l'oiseau). À l'époque, c'était une backdoor .NET relativement classique, utilisée pour l'exfiltration de données et le contrôle à distance.
En janvier 2021, Kaspersky établissait un lien de code entre Kazuar et Sunburst, le malware au cœur de l'attaque SolarWinds qui avait compromis une partie de l'appareil fédéral américain. L'attribution officielle de SolarWinds pointe vers le SVR (APT29/Cozy Bear), mais les similitudes de code entre Kazuar (FSB/Turla) et Sunburst laissent entrevoir soit une source commune, soit un échange de composants entre services de renseignement. Les rivalités entre le FSB et le SVR sont bien documentées, ce qui rend cette collaboration technique d'autant plus intrigante (et préoccupante).
Entre 2023 et 2025, une autre collaboration est apparue, cette fois mieux documentée : Gamaredon (Aqua Blizzard, rattaché au Centre 18 du FSB) compromet massivement des machines ukrainiennes avec ses propres outils, puis déploie les backdoors Kazuar v2 et v3 de Turla sur les cibles jugées les plus intéressantes. En mai 2026, HarfangLab documentait encore les douze vagues d'attaques Gamaredon contre les administrations ukrainiennes. Le passage au P2P documenté par Microsoft le 14 mai constitue la dernière marche d'une évolution architecturale de deux décennies. Le vecteur d'infection initial utilise des droppers baptisés Pelmeni ou ShadowLoader, dont le payload est chiffré et lié au hostname de la machine cible (le malware ne se déchiffre que sur le poste visé, rendant l'analyse en sandbox quasi impossible).
Microsoft confirme que les cibles historiques de Turla se concentrent sur les secteurs gouvernementaux, diplomatiques et de défense en Europe et en Asie centrale. Le groupe a été surpris en 2025 en train d'espionner des ambassades à Moscou via une technique de redirection du trafic Internet des diplomates connectés aux FAI locaux. En France, l'ANSSI n'a pas publiquement attribué d'incident à Turla, mais le Panorama de la cybermenace 2025 (publié le 11 mars 2026 par le CERT-FR) inclut les modes opératoires russes étatiques dans la liste des menaces actives ciblant l'Europe.
