Desde fevereiro de 2025, a Microsoft Threat Intelligence observou uma possível colaboração entre os grupos russos Aqua Blizzard e Secret Blizzard com o objectivo de comprometer dispositivos militares ucranianos. Com efeito, o Secret Blizzard implantou o malware KazuarV2 em dispositivos previamente infectados pelo Aqua Blizzard, sugerindo que este último realizou a invasão inicial antes de entregar o acesso. Essa é a primeira vez que a Microsoft identifica interacção entre esses dois grupos, ambos ligados ao Serviço Federal de Segurança russo (FSB).

Aqua Blizzard, associado ao Centro 18 do FSB na Crimeia, tem uma grande presença na Ucrânia e utiliza campanhas de infecção por USB e spear-phishing para espionagem. Já o Secret Blizzard, ligado ao Centro 16 do FSB, tradicionalmente foca-se em alvos diplomáticos, mas desde 2023 tem realizado ataques cibernéticos de interesse militar na Ucrânia. Esta colaboração sugere um realinhamento estratégico russo para ampliar a inteligência militar.

Método:
1. O Aqua Blizzard executa scripts PowerShell nos dispositivos infectados, ligando-se ao comando e controle (C2) do Secret Blizzard através do Telegraph.
2. O script faz o download de outro arquivo PowerShell usado para ataque via Component Object Model (COM) hijacking.
3. O código instala o backdoor ShadowLoader no Registry do sistema infectado.
4. O malware Kazuar reúne informações do sistema e do utilizador infectado, captura imagens da webcam e utiliza servidores comprometidos como C2.