Аналитики Solar 4RAYS выявили ранее не документированный бэкдор IDFKA, применявшийся в целевых атаках на российские телекоммуникационные компании. Вредоносное ПО отличалось высокой скрытностью и позволило злоумышленникам оставаться в инфраструктуре подрядчика и его клиентов не менее 10 месяцев, что типично для операций кибершпионажа против критически важной инфраструктуры.
Как обнаружили атаку: аномальная активность в PostgreSQL
По данным отчёта, в конце мая 2025 года специалисты зафиксировали нестандартную активность в инфраструктуре одного из ИТ‑подрядчиков телеком‑операторов. От имени служебной учётной записи подрядчика через PostgreSQL выполнялись команды, нехарактерные для легитимной эксплуатации базы данных. Такой сценарий часто свидетельствует о том, что злоумышленники используют СУБД как точку входа и инструмент для закрепления в сети.
Расследование показало, что сеть подрядчика одновременно стала объектом интереса двух разных группировок: известной азиатской группы Snowy Mogwai, специализирующейся на кибершпионаже, и менее изученного кластера угроз NGC5081. При этом новый бэкдор IDFKA применяла именно NGC5081, наряду с ранее известным инструментом Tinyshell.
Две независимые группировки в одной инфраструктуре
Эксперты отмечают, что NGC5081 и Snowy Mogwai действовали параллельно и не координировали свои кампании. На это указывает отсутствие пересечений в C2‑инфраструктуре, различия в техниках сокрытия и тот факт, что часть систем была заражена только одним из семейств вредоносного ПО. Подобные «наложения» операций разных акторов на одной площадке всё чаще фиксируются в отрасли и осложняют атрибуцию.
Технический профиль бэкдора IDFKA
Исследователи установили, что IDFKA разработан «с нуля» и написан на языке Rust. Использование Rust в кибероперациях становится устойчивым трендом: его экосистема усложняет статический и динамический анализ, а также позволяет создавать кроссплатформенный, устойчивый к ошибкам код. Название IDFKA отсылает к чит‑коду IDKFA из игры Doom, который выдавал игроку все ключи и оружие — по аналогии бэкдор предоставляет атакующим полный контроль над заражённой системой.
Собственный протокол и шифрование нагрузки
Одной из ключевых особенностей IDFKA является использование собственного сетевого протокола уровня L4, работающего поверх IP. Такой подход позволяет обходить традиционные системы обнаружения вторжений, ориентированные на анализ знакомых протоколов (TCP, UDP, HTTP и т.п.). Основная функциональная нагрузка бэкдора зашифрована с помощью AES в режиме ECB, а для её расшифровки необходима специальная переменная окружения TRM64CFG, что осложняет форензику и анализ образцов вне исходной среды.
При этом IDFKA поддерживает сразу несколько каналов связи с управляющими серверами: TCP/UDP, ICMP, HTTP и собственные кастомные протоколы. Такая многоуровневая избыточность повышает живучесть инфраструктуры управления и затрудняет полную блокировку C2‑каналов защитными средствами.
Функциональность: от разведки сети до кражи учётных данных
Реализованный в IDFKA функционал типичен для современных инструментов кибершпионажа. Бэкдор позволяет удалённо управлять системой, проводить сканирование внутренней сети, выполнять брутфорс SSH‑доступа, а также перехватывать пароли с использованием механизмов ptrace и eBPF. Последние всё активнее используются злоумышленниками для скрытого мониторинга активности процессов и сетевого трафика на уровне ядра.
Методы сокрытия и длительное присутствие в сети
IDFKA спроектирован с упором на незаметность. Вредоносные файлы маскировались под легитимные системные службы Linux и размещались в стандартных директориях для исполняемых файлов. При этом злоумышленники сознательно не использовали механизмы автозапуска: инфраструктура жертв практически не перезагружалась годами, что обеспечивало устойчивое присутствие без создания дополнительных артефактов в системе.
Самый ранний обнаруженный образец IDFKA датирован ноябрём 2024 года, однако артефакты компрометации указывают на начало взлома ещё в сентябре 2024 года. Нападавшие целенаправленно удаляли записи из системных логов, модифицировали файлы wtmp и lastlog, а также вручную подменяли артефакты. В сумме это позволило NGC5081 оставаться в сети подрядчика и его клиентов не менее 10 месяцев.
Телеком‑операторы как цель и возможное происхождение NGC5081
Через несколько дней после развёртывания IDFKA в инфраструктуре подрядчика злоумышленники скомпрометировали кластер PostgreSQL первого телеком‑клиента, а в апреле 2025 года — ещё один кластер БД другого оператора. В их распоряжении оказались базы данных абонентов и метаданные звонков. Прямых доказательств масштабного вывода данных не обнаружено, однако сам факт такого доступа создаёт серьёзные риски для конфиденциальности и возможности последующих таргетированных атак.
На момент публикации отчёта C2‑серверы оставались активными, а конфигурации управляющей инфраструктуры обновлялись в сентябре 2025 года. Это свидетельствует о том, что IDFKA остаётся в актуальном арсенале NGC5081 и может применяться в новых кампаниях против других организаций. Прямая атрибуция группы пока не установлена, однако использование общей инфраструктуры с Tinyshell и совокупность косвенных признаков указывают на возможное восточноазиатское происхождение акторов.
Техническая сложность IDFKA, собственный протокол поверх IP, грамотное использование Rust, eBPF и продвинутые методы сокрытия позволяют отнести этот инструмент к классу развитых кибершпионских платформ, сопоставимых по уровню с такими решениями, как GoblinRAT. Для телеком‑операторов и их подрядчиков ключевыми мерами защиты становятся жёсткий контроль привилегированных учётных записей, постоянный аудит активности в СУБД, мониторинг аномалий на сетевом и системном уровнях, а также оперативное применение индикаторов компрометации и YARA‑правил, опубликованных исследователями. Усиление этих практик снижает вероятность длительного незаметного присутствия подобных бэкдоров в критических сегментах инфраструктуры.
