El recién identificado backdoor IDFKA, escrito en Rust, ha sido utilizado en una campaña prolongada de ciberespionaje contra empresas de telecomunicaciones rusas. Según el análisis de Solar 4RAYS, este malware logró permanecer oculto durante al menos 10 meses en la infraestructura de un importante proveedor TI y de varios operadores, un patrón típico de operaciones dirigidas contra infraestructuras críticas, donde la persistencia y el sigilo tienen prioridad sobre el daño inmediato.
Actividad anómala en PostgreSQL: punto de partida de la investigación
La intrusión salió a la luz a finales de mayo de 2025, cuando se detectó actividad inusual en un clúster de PostgreSQL perteneciente a un proveedor de servicios para operadores de telecomunicaciones. Desde una cuenta de servicio legítima se ejecutaban comandos atípicos para la explotación normal de una base de datos, un indicio recurrente de que la SGBD se usa como vector de entrada y anclaje en la red. Investigaciones anteriores en el sector han mostrado que las bases de datos críticas se han convertido en objetivos prioritarios por el valor de los datos y los amplios privilegios asociados.
Dos grupos de amenazas simultáneos: NGC5081 y Snowy Mogwai
El análisis forense reveló un escenario especialmente complejo: la infraestructura comprometida estaba siendo utilizada simultáneamente por dos actores diferentes. Por un lado, la conocida agrupación asiática Snowy Mogwai, asociada históricamente a ciberespionaje de largo plazo. Por otro, el menos documentado clúster de amenazas NGC5081, responsable del despliegue del nuevo backdoor IDFKA junto con el ya conocido Tinyshell. La ausencia de solapamiento en servidores de mando y control (C2), las diferencias en técnicas de ocultación y el hecho de que algunas máquinas albergaran solo una familia de malware apuntan a operaciones no coordinadas, lo que complica de forma significativa la atribución.
Perfil técnico de IDFKA: backdoor en Rust para ciberespionaje persistente
Los investigadores describen IDFKA como un backdoor desarrollado desde cero en Rust, un lenguaje cada vez más utilizado en campañas avanzadas por su robustez, capacidades multiplataforma y mayor resistencia al análisis estático y dinámico. El nombre alude al famoso truco IDKFA del videojuego Doom, que otorgaba acceso total al jugador, una analogía directa con el control completo del sistema comprometido que proporciona este malware a los atacantes.
Protocolo propio sobre IP y cifrado de la carga útil
Una de las características más llamativas de IDFKA es el uso de un protocolo de red propio a nivel L4 ejecutado directamente sobre IP. Este enfoque le permite evadir sistemas tradicionales de detección de intrusiones que dependen del reconocimiento de protocolos estándar como TCP, UDP o HTTP. La carga funcional del backdoor se encuentra cifrada mediante AES en modo ECB y solo puede descifrarse si está presente una variable de entorno específica, TRM64CFG. Este requisito dificulta el análisis forense fuera del entorno de ejecución original y aumenta la resistencia frente a entornos sandbox.
Además, IDFKA incorpora múltiples canales de comunicación C2 (TCP/UDP, ICMP, HTTP y protocolos personalizados). Esta redundancia de canales incrementa la resiliencia de la infraestructura de mando y complica su interrupción completa mediante controles de red convencionales, una táctica que se observa con frecuencia en herramientas de ciberespionaje de alto nivel.
Capacidades: reconocimiento interno, fuerza bruta y robo de credenciales
En cuanto a funcionalidad, IDFKA ofrece un conjunto de capacidades alineado con las principales plataformas de ciberespionaje orientadas a persistencia. Permite la ejecución remota de comandos, el escaneo de la red interna, ataques de fuerza bruta contra servicios SSH y la intercepción de credenciales. Para esta última tarea aprovecha tanto ptrace como eBPF, tecnologías legítimas del sistema Linux que, cuando se abusan, permiten un monitorización sigilosa de procesos y tráfico a nivel de kernel. Informes recientes de la industria apuntan a un incremento sostenido del uso de eBPF en malware avanzado, precisamente por su potencia y bajo perfil.
Técnicas de ocultación y permanencia sin reinicios
IDFKA ha sido diseñado con un fuerte énfasis en el sigilo operativo. Los binarios maliciosos se disfrazaban como servicios de sistema Linux aparentemente legítimos y se instalaban en rutas estándar de ejecutables, reduciendo las sospechas en revisiones superficiales. Un aspecto especialmente significativo es que los atacantes optaron por no configurar mecanismos de arranque automático; aprovecharon que la infraestructura de las víctimas apenas se reiniciaba durante años, logrando así una presencia continua sin generar artefactos adicionales que delataran la persistencia. Paralelamente, los intrusos borraron entradas de logs, manipularon archivos como wtmp y lastlog y sustituyeron manualmente artefactos para dificultar la reconstrucción cronológica del incidente.
Impacto en operadores de telecomunicaciones y posible origen de NGC5081
Pocos días después de desplegar IDFKA en el entorno del proveedor, los atacantes comprometieron un clúster de PostgreSQL de un primer operador de telecomunicaciones y, en abril de 2025, alcanzaron otro clúster de bases de datos perteneciente a un segundo operador. De este modo obtuvieron acceso a bases de datos de abonados y metadatos de llamadas, información extremadamente sensible que puede explotarse para vigilancia selectiva, ingeniería social avanzada y ataques dirigidos. Aunque no se han encontrado pruebas concluyentes de exfiltración masiva, el mero acceso a estos datos supone un riesgo elevado para la privacidad y la seguridad nacional.
Recomendaciones de ciberseguridad para operadores y proveedores TI
En el momento de publicarse el informe, varios servidores C2 de IDFKA seguían activos y su configuración se había actualizado en septiembre de 2025, lo que confirma que NGC5081 continúa usando este backdoor en campañas actuales. Ante esta amenaza, los operadores de telecomunicaciones y sus proveedores deben reforzar el control de cuentas privilegiadas, implantar un monitoreo continuo de actividad en SGBD como PostgreSQL y mejorar la detección de anomalías en red y sistemas, prestando especial atención a protocolos inusuales sobre IP y al uso no autorizado de eBPF. La aplicación ágil de indicadores de compromiso (IoC) y reglas YARA publicadas por los investigadores es clave para identificar variantes de IDFKA y herramientas relacionadas.
La aparición de IDFKA confirma la consolidación de backdoors avanzados en Rust y de técnicas de sigilo cada vez más sofisticadas en operaciones de ciberespionaje contra infraestructuras críticas. Invertir en visibilidad profunda sobre bases de datos, cuentas de alto privilegio y tráfico de red no estándar, así como fomentar la actualización continua de equipos de seguridad en tácticas y herramientas emergentes, resulta esencial para reducir la probabilidad de compromisos de larga duración y proteger la información estratégica de organizaciones y ciudadanos.
