NANOREMOTE Porta del darrere
Investigadors de ciberseguretat han descobert una porta del darrere de Windows amb totes les funcions anomenada NANOREMOTE, que aprofita l'API de Google Drive per a les seves operacions de comandament i control (C2). Aquest programari maliciós presenta capacitats sofisticades per a l'exfiltració de dades i les operacions remotes, cosa que el converteix en una amenaça important per a les organitzacions objectiu.
Taula de continguts
Enllaços a activitats d’amenaces anteriors
NANOREMOTE comparteix notables similituds de codi amb un altre implant, conegut com a FINALDRAFT (també anomenat Squidoor), que utilitza l'API de Microsoft Graph per a C2. FINALDRAFT s'atribueix a un clúster d'amenaces designat REF7707 (també conegut com a CL-STA-0049, Earth Alux i Jewelbug).
Es creu que REF7707 és un presumpte grup d'espionatge cibernètic xinès que ha atacat:
- organismes governamentals
- Organitzacions de defensa
- empreses de telecomunicacions
- Institucions educatives
- Sectors de l'aviació
L'activitat del grup s'ha observat al sud-est asiàtic i a Sud-amèrica des del març del 2023. Cal destacar que, a l'octubre del 2025, els investigadors van vincular REF7707 amb una intrusió de cinc mesos contra un proveïdor de serveis informàtics rus.
Capacitats i arquitectura de programari maliciós
La funcionalitat principal de NANOREMOTE gira al voltant de l'aprofitament de l'API de Google Drive tant per a l'exfiltració de dades com per a la posada en escena de la càrrega útil, creant un canal de comunicació discret i difícil de detectar per als atacants. El seu sistema de gestió de tasques està dissenyat per posar en cua les transferències de fitxers, gestionar la pausa i la represa d'aquestes transferències, permetre als operadors cancel·lar les operacions en curs i generar tokens d'actualització per mantenir l'activitat persistent.
La porta del darrere està integrada en C++ i és capaç de realitzar un reconeixement exhaustiu en els hosts infectats, executar fitxers i ordres del sistema, i moure dades entre entorns compromesos i Google Drive. També manté la comunicació amb una adreça IP codificada i no enrutable mitjançant el trànsit HTTP estàndard. Durant aquesta comunicació, les dades JSON s'envien mitjançant sol·licituds POST després de comprimir-les amb Zlib i xifrar-les mitjançant AES-CBC amb una clau de 16 bytes (558bec83ec40535657833d7440001c00). Totes les sol·licituds sortints es basen en la ruta /api/client i s'identifiquen mitjançant la cadena User-Agent NanoRemote/1.0.
El programari maliciós es basa en un conjunt de 22 controladors d'ordres que, en conjunt, li permeten recopilar informació del sistema, manipular fitxers i directoris, executar fitxers executables portàtils ja presents al disc, esborrar les dades emmagatzemades a la memòria cau, controlar el moviment de fitxers cap a i des de Google Drive i finalitzar la seva pròpia operació quan se li indica.
La cadena d'infecció comença amb un carregador conegut com a WMLOADER, tot i que el mètode utilitzat per lliurar NANOREMOTE a les víctimes continua sent desconegut. WMLOADER es fa passar per un component de gestió de fallades BDReinit.exe, un fitxer normalment associat amb una eina de ciberseguretat legítima, i és responsable de desxifrar el codi shell que finalment obre la porta del darrere.
Llançament de la porta del darrere
Un artefacte anomenat wmsetup.log, descobert a les Filipines el 3 d'octubre de 2025, pot ser desxifrat per WMLOADER utilitzant la mateixa clau de 16 bytes. Aquest registre va revelar una implantació de FINALDRAFT, cosa que suggereix una base de codi i un entorn de desenvolupament compartits entre FINALDRAFT i NANOREMOTE.
La hipòtesi de treball és que WMLOADER utilitza la mateixa clau codificada a causa de la seva integració en un procés de compilació unificat dissenyat per gestionar múltiples càrregues útils.
