IDFKA, une backdoor en Rust restée dix mois chez un sous-traitant télécom russe, révélant une opération d’espionnage à double visage.

Présentée au SOC Forum 2025, l’enquête de Solar 4RAYS détaille une opération d’espionnage visant un opérateur de télécommunications russe via un sous-traitant informatique compromis. Deux groupes, Snowy Mogwai et NGC5081, ont exploité la même brèche pour accéder aux bases de données d’abonnés et aux informations d’appels. NGC5081 a déployé une nouvelle porte dérobée, IDFKA, écrite en Rust et masquée en service légitime, qui utilise un protocole propriétaire pour échapper à la surveillance réseau. Active depuis au moins dix mois dans l’infrastructure du prestataire, cette backdoor dispose toujours d’une infrastructure de commande et de contrôle opérationnelle, maintenant le risque de nouvelles intrusions contre d’autres organisations de part le monde.

Un sous-traitant compromis et deux groupes en parallèle

L’alerte ne vient pas d’un poste de travail classique, mais d’un compte de service. Fin mai 2025, le centre opérationnel de sécurité de Solar, le JSOC, observe des commandes inhabituelles exécutées sur l’infrastructure d’un opérateur de télécommunications. Les opérations suspectes transitent par un compte technique, administré par un sous-traitant informatique. Autrement dit, l’attaque s’appuie sur un maillon tiers, intégré au cœur des processus de l’opérateur.

Lorsque les spécialistes rejoignent l’enquête, le scénario se complexifie rapidement. Ils ne découvrent pas un acteur isolé, mais deux groupes distincts présents simultanément dans le réseau du prestataire. Le premier, Snowy Mogwai, est décrit comme une équipe d’espionnage informatique asiatique déjà connue. Le second, NGC5081, apparaît comme un groupe beaucoup moins documenté, mais manifestement capable d’opérer au même niveau.

Les deux équipes partagent le même intérêt stratégique. Leur cible n’est pas le sous-traitant pour lui-même, mais les données gérées par l’opérateur de télécommunications. En compromettant l’entreprise de services informatiques, elles obtiennent un accès indirect mais privilégié aux ressources de l’opérateur, notamment aux bases d’abonnés et aux informations relatives aux appels. Cette configuration illustre un schéma désormais classique dans les opérations d’espionnage numérique : frapper l’écosystème pour approcher la cible finale.

Le fait que Snowy Mogwai et NGC5081 agissent en parallèle dans le même environnement montre aussi que la brèche n’est pas un incident opportuniste isolé. La coexistence de deux groupes dans un périmètre aussi sensible indique un intérêt durable pour les données de télécommunications et suggère que ce segment d’infrastructure est surveillé et testé par plusieurs acteurs en quête d’accès pérennes.

Pour les équipes de réponse à incident, cette superposition complique l’attribution et la remédiation. Chaque groupe dispose de ses propres outils, de ses techniques et de ses objectifs opérationnels. Il faut distinguer les traces, séparer les chaînes d’attaque, comprendre ce qui relève de Snowy Mogwai et ce qui appartient à NGC5081. C’est dans cet enchevêtrement que la nouvelle porte dérobée IDFKA est mise en lumière.

IDFKA, une porte dérobée écrite en Rust et pensée pour durer

NGC5081 ne se contente pas d’exploiter des outils existants. Le groupe déploie deux implants de contrôle à distance, Asian Tinyshell et IDFKA. Le premier est déjà connu, le second est inédit au moment de l’intervention. L’existence d’IDFKA est révélée précisément lors des opérations de réponse à incident chez le sous-traitant, preuve que l’outil était conçu pour rester discret, voire invisible, tant qu’aucune analyse approfondie n’était menée.

IDFKA se présente comme un service légitime. Cette approche permet de s’imbriquer dans l’infrastructure sans déclencher immédiatement de suspicion. En empruntant l’apparence et les comportements d’un composant attendu du système, la backdoor se dissimule au milieu du bruit de fond habituel des services techniques. Pour les équipes de défense, cela complique la détection, qui doit s’appuyer sur des signaux faibles plutôt que sur des anomalies grossières.

La référence choisie par les développeurs n’a rien d’anodin. Le nom IDFKA évoque le célèbre code de triche IDKFA du jeu Doom, qui offrait au joueur toutes les armes et toutes les clés. L’analogie est transparente : dans l’environnement de l’opérateur, la porte dérobée vise à donner aux attaquants un accès total, à la fois aux systèmes, aux mouvements latéraux et aux données recherchées. L’outil devient une clé universelle, forgée sur mesure pour cette opération d’espionnage.

IDFKA a été développé de bout en bout par les attaquants. Cet effort de conception complète révèle un niveau de compétence élevé et une volonté de disposer d’un arsenal propriétaire, non immédiatement détectable par les signatures classiques. Le choix du langage Rust renforce cette orientation. Ce langage moderne, plus rare dans les malwares traditionnels, rend l’analyse inverse plus complexe pour de nombreuses équipes de sécurité, habituées à des implants écrits dans des langages plus répandus.

Sur le plan réseau, IDFKA ne se contente pas d’employer des protocoles ou des canaux standard. La backdoor utilise un protocole propriétaire de couche 4 sur IP, ce qui permet de rendre son trafic beaucoup moins évident pour les systèmes de surveillance. Plutôt que de se cacher derrière un protocole chiffré connu, la porte dérobée emprunte une voie moins balisée, où les outils de détection automatisée disposent de moins de repères. Cette architecture renforce sa capacité à rester en place, même dans un environnement surveillé.

Les capacités opérationnelles décrites couvrent l’ensemble du cycle d’une intrusion furtive. IDFKA permet d’exercer un contrôle à distance sur les systèmes du sous-traitant, d’assurer des déplacements latéraux au sein du réseau et de conduire une analyse approfondie de l’infrastructure. Autrement dit, la backdoor n’est pas un simple point d’appui technique, mais un véritable poste de pilotage, qui offre aux attaquants une vue d’ensemble et des leviers d’action multiples dans l’environnement compromis.

Cette backdoor a permis aux attaquants de rester infiltrés pendant au moins dix mois dans l’infrastructure du prestataire. Cette durée est directement tirée de l’analyse de l’incident, qui relie la présence d’IDFKA à des activités observées sur une période prolongée. Dix mois de présence signifient que les attaquants ont disposé du temps nécessaire pour cartographier les systèmes, affiner leurs accès et calibrer leurs actions de manière discrète, loin d’une logique d’attaque brutale.

Pilotage à distance, données d’abonnés et menace persistante

Avec IDFKA solidement ancrée dans le réseau du sous-traitant, les attaquants ont pu atteindre ce qui constitue le cœur informationnel d’un opérateur de télécommunications : les bases de données d’abonnés et les informations d’appels. Les spécialistes indiquent que ces éléments ont pu être téléchargés depuis l’infrastructure compromise. En d’autres termes, les systèmes permettant l’extraction et le transit de ces données ont été sous contrôle adverse.

Les experts n’ont pas trouvé de preuve directe de vol, mais considèrent que les données sont très probablement tombées entre les mains des attaquants. Cette conclusion repose sur un enchaînement logique : d’une part, la backdoor donne un accès durable et profond aux systèmes où ces informations sont stockées ou manipulées ; d’autre part, les attaquants ont mis en place les moyens techniques de télécharger ces éléments. L’absence de preuve explicite d’exfiltration ne suffit donc pas à écarter le scénario, car les traces peuvent être limitées ou volontairement effacées.

Pour les métiers du renseignement et de la cyberdéfense, la valeur de ces données est évidente. Les bases d’abonnés offrent une vision détaillée des identités, des coordonnées et des structures de clientèle d’un opérateur. Les informations d’appels, même sans contenu des conversations, permettent de reconstituer des graphes de communication, des habitudes de contact et des schémas de relation. Dans un cadre d’espionnage, ce type de visibilité ouvre la voie à la surveillance ciblée, au profilage et à la préparation d’opérations ultérieures.

L’un des éléments les plus préoccupants mis en avant concerne la situation actuelle d’IDFKA. Malgré la découverte de l’implant et l’enquête menée sur l’incident, l’infrastructure de commande et de contrôle de la backdoor demeure active. Autrement dit, les serveurs et mécanismes permettant de piloter IDFKA n’ont pas disparu, ce qui signifie que l’outil reste à la disposition des attaquants pour de futures campagnes.

Cette persistance transforme l’affaire étudiée au SOC Forum 2025 en cas d’école. IDFKA n’est pas seulement le vestige d’une opération passée contre un sous-traitant spécifique, mais un composant réutilisable, prêt à être redéployé contre d’autres organisations, notamment russes. Toute entreprise partageant une architecture ou une chaîne de sous-traitance comparable peut, par analogie, se retrouver exposée aux mêmes méthodes et au même outillage.

Pour les opérateurs de télécommunications, le message est clair. La surface d’attaque ne se limite plus aux frontières directes de leurs systèmes. Elle inclut l’ensemble des prestataires techniques capables d’exécuter des commandes, d’administrer des comptes de service ou de manipuler des données sensibles. Dans ce contexte, un compte géré par un sous-traitant devient un point d’entrée de choix pour des groupes d’espionnage structurés, capables de maintenir une présence discrète pendant des mois.

L’enquête montre aussi que la dynamique d’attaque ne repose plus sur un seul adversaire. La présence parallèle de Snowy Mogwai et NGC5081 rappelle que les environnements critiques peuvent intéresser plusieurs groupes, simultanément ou successivement. Chacun peut apporter ses propres outils, dont certains, comme IDFKA, sont développés sur mesure pour contourner des dispositifs de défense déjà connus. [Blog original / En russe / Restriction d’accés]