Аналитики Solar 4RAYS обнаружили новый бэкдор IDFKA, который использовался для атак на российские телекоммуникационные компании. Вредонос отличается скрытностью и позволил хакерам провести в инфраструктуре жертв более 10 месяцев. Хотя целью атаки явно был шпионаж, остается неизвестным, что именно атакующие искали в инфраструктуре взломанных организаций.
Согласно отчету, в конце мая 2025 года специалисты зафиксировали подозрительную активность в инфраструктуре неназванного телекоммуникационного оператора. От имени служебной учетной записи ИТ-подрядчика выполнялись необычные команды через базу данных PostgreSQL.
Последующее расследование показало, что в сеть подрядчика этой компании одновременно проникли две хакерские группировки: азиатская Snowy Mogwai, атакующая с целью шпионажа, и еще не до конца изученная NGC5081. Именно вторая группа использовала новый бэкдор IDFKA наряду с уже известным вредоносом Tinyshell.
Отмечается, что группировки NGC5081 и Snowy Mogwai действовали параллельно и не были связаны между собой. Об этом свидетельствует отсутствие пересечений в сетевой инфраструктуре, использование разных техник маскировки и частичное заражение систем только одним типом вредоносов.
Исследователи рассказывают, что бэкдор разработан с нуля и написан на Rust, что существенно усложняет его анализ. Название малвари отсылает к чит-коду IDKFA из игры Doom, который давал игроку все оружие и ключи. По аналогии бэкдор предоставляет злоумышленникам полный контроль над зараженной системой.
IDFKA использует собственный сетевой протокол L4, работающий поверх IP. Это позволяет скрывать активность от защитных решений. Кроме того, основная нагрузка бэкдора зашифрована алгоритмом AES-ECB, и для расшифровки требуется специальная переменная окружения TRM64CFG.
По словам экспертов, вредонос демонстрирует широкую функциональность: удаленное управление зараженным устройством, сканирование внутренней сети компании, брутфорс SSH-доступа, перехват паролей через механизмы ptrace и eBPF. Также бэкдор поддерживает множество каналов связи со своими управляющими серверами — TCP/UDP, ICMP, HTTP и несколько кастомных протоколов.
Одна из основных особенностей IDFKA — способность мимикрировать под легитимные системные процессы. Злоумышленники маскировали вредоносные файлы под стандартные службы Linux, размещая их в типичных для исполняемых файлов директориях. При этом хакеры не использовали механизмы автозапуска — системы не перезагружались годами, что обеспечивало постоянное присутствие вредоноса.
Самый ранний образец IDFKA был размещен в инфраструктуре вышеупомянутого подрядчика в ноябре 2024 года, но анализ артефактов показал, что компрометация началась еще в сентябре 2024 года. Хакеры тщательно скрывали следы своей активности: удаляли записи из системных журналов, модифицировали файлы wtmp и lastlog, а также подменяли артефакты вручную. Благодаря высокой скрытности IDFKA хакеры находились в инфраструктуре подрядчика не менее 10 месяцев.
Через несколько дней после размещения IDFKA у подрядчика злоумышленники скомпрометировали PostgreSQL-кластер первого клиента взломанной организации — телекоммуникационной компании. Кроме того, в апреле 2025 года был взломан кластер БД другого клиента. В результате атакующие получили доступ к базам данных с информацией об абонентах и метаданными звонков, однако прямых доказательств хищения информации обнаружить не удалось.
Эксперты пишут, что на момент публикации результатов расследования управляющие серверы атакующих продолжали работать, и злоумышленники обновляли конфигурацию серверов в сентябре 2025 года. Это означает, что NGC5081 может применять IDFKA в атаках на другие организации.
Атрибуцию группировки NGC5081 пока установить не удалось. Отсутствие прямых связей с известными кластерами угроз не позволяет с уверенностью определить, в чьих интересах действуют хакеры. Однако косвенные признаки указывают на возможное восточноазиатское происхождение группы: в одном случае IDFKA использовал общую инфраструктуру с бэкдором Tinyshell, который регулярно применяется злоумышленниками из этого региона.
Эксперты резюмируют, что технический профиль атаки указывает на высокую квалификацию разработчиков малвари. Создание столь сложного инструмента требует значительных ресурсов, времени на тестирование и слаженной работы команды опытных специалистов. Исследователи сравнивают IDFKA по уровню сложности с такими продвинутыми вредоносами, как GoblinRAT.
К отчету специалистов прилагаются индикаторы компрометации и YARA-правило для обнаружения IDFKA.
