Microsoft Threat Intelligence は 2026 年 5 月 14 日、ロシア FSB 第 16 センター関連と評価される APT グループ Turla が運用するバックドア Kazuar の最新解析を公表しました。従来の「モノリシック」型から、3 種類のコンポーネントで構成されるモジュール式の P2P (ピアツーピア) ボットネットへ進化しており、長期潜伏と検知回避を狙う設計と説明しています。
主なポイント
- Kazuar は Kernel・Worker・Loader 等の役割別モジュールに分解され、感染ホスト間で P2P 通信する構造に変化
- 各セルから 1 台の「Leader」Kernel ノードだけが C2 と通信、ネットワークノイズと検知機会を抑制
- 150 以上の設定パラメータで実行方法・永続化・流出タイミング・AMSI/ETW バイパス等を細かく制御
- 投下経路として Pelmeni、ShadowLoader といったドロッパが利用され、複合的な感染チェーンを形成
- Microsoft は侵害指標 (IoC) と Defender 検知ルールを併せて公開、政府・防衛・外交機関を主な標的と指摘
出典: Kazuar: Anatomy of a nation-state botnet (Microsoft Security Blog)