Державне кібершпигунське угруповання Turla, яке західні спецслужби та Агентство з кібербезпеки і захисту інфраструктури США пов’язують із Центром 16 ФСБ РФ, завершило модернізацію свого флагманського бекдору Kazuar. Оновлена версія програми трансформована у модульний піринговий ботнет, призначений для тривалого перебування у скомпрометованих урядових та військових мережах без виявлення засобами захисту. Головна технічна зміна полягає у відмові від класичної схеми взаємодії з єдиним командним сервером. Замість цього заражені вузли зв’язуються безпосередньо один з одним за зашифрованими каналами, передаючи команди всередині мережі.

Згідно з опублікованим аналізом структури ПЗ, оновлений Kazuar отримав модульну архітектуру, що дозволяє завантажувати специфічні плагіни безпосередньо в оперативну пам’ять комп’ютера-жертви залежно від конфігурації мережі. Програма використовує розширені алгоритми шифрування трафіку для маскування під легітимні системні процеси адміністрування. Модернізація архітектури ботнету суттєво ускладнює його виявлення мережевими сканерами, оскільки трафік розподіляється між багатьма хостами, і блокування окремих IP-адрес не призводить до втрати контролю над мережею з боку зловмисників. Інструмент орієнтований на збір розвідувальних даних та викрадення закритих файлів.