Zadní vrátka NANOREMOTE
Výzkumníci v oblasti kybernetické bezpečnosti odhalili plně funkční backdoor pro Windows s názvem NANOREMOTE, který pro své operace Command-and-Control (C2) využívá API Google Drive. Tento malware vykazuje sofistikované schopnosti pro exfiltraci dat a vzdálené operace, což z něj činí významnou hrozbu pro cílové organizace.
Obsah
Odkazy na předchozí aktivitu hrozeb
NANOREMOTE sdílí významné podobnosti v kódu s jiným implantátem, známým jako FINALDRAFT (také označovaným jako Squidoor), který využívá rozhraní Microsoft Graph API pro C2. FINALDRAFT je přiřazen ke klastru hrozeb označenému REF7707 (také známému jako CL-STA-0049, Earth Alux a Jewelbug).
REF7707 je pravděpodobně čínská skupina pro kybernetickou špionáž, která se zaměřila na:
- Vládní agentury
- Obranné organizace
- Telekomunikační společnosti
- Vzdělávací instituce
- Letecké sektory
Aktivita skupiny byla v jihovýchodní Asii a Jižní Americe pozorována od března 2023. Je pozoruhodné, že v říjnu 2025 výzkumníci spojili REF7707 s pětiměsíčním narušením bezpečnosti ruského poskytovatele IT služeb.
Možnosti a architektura malwaru
Základní funkce NANOREMOTE se točí kolem využití rozhraní Google Drive API pro exfiltraci dat i pro tvorbu datových úložišť, čímž se vytváří diskrétní a obtížně odhalitelný komunikační kanál pro útočníky. Jeho systém správy úloh je navržen tak, aby zařazoval přenosy souborů do fronty, zpracovával pozastavení a obnovení těchto přenosů, umožňoval operátorům rušit probíhající operace a generoval obnovovací tokeny pro udržení trvalé aktivity.
Samotný backdoor je napsán v jazyce C++ a je schopen provádět rozsáhlý průzkum infikovaných hostitelů, spouštět soubory a systémové příkazy a přesouvat data mezi napadeným prostředím a Diskem Google. Také udržuje komunikaci s pevně zakódovanou, nesměrovatelnou IP adresou pomocí standardního HTTP provozu. Během této komunikace jsou data JSON odesílána prostřednictvím POST požadavků po kompresi pomocí Zlib a šifrování pomocí AES-CBC s 16bajtovým klíčem (558bec83ec40535657833d7440001c00). Všechny odchozí požadavky se spoléhají na cestu /api/client a identifikují se pomocí řetězce NanoRemote/1.0 User-Agent.
Malware se spoléhá na sadu 22 obslužných rutin příkazů, které mu společně umožňují shromažďovat systémové informace, manipulovat se soubory a adresáři, spouštět přenositelné spustitelné soubory, které jsou již na disku, mazat data v mezipaměti, řídit přesun souborů do a z Disku Google a ukončovat svou vlastní operaci na pokyn.
Řetězec infekce začíná zavaděčem známým jako WMLOADER, ačkoli metoda použitá k doručení NANOREMOTE obětem zůstává neznámá. WMLOADER se maskuje jako komponenta pro ošetřování pádů BDReinit.exe, soubor obvykle spojovaný s legitimním nástrojem pro kybernetickou bezpečnost, a je zodpovědný za dešifrování shellcode, který nakonec spustí zadní vrátka.
Spuštění zadních vrátek
Artefakt s názvem wmsetup.log, objevený na Filipínách 3. října 2025, lze dešifrovat programem WMLOADER pomocí stejného 16bajtového klíče. Tento protokol odhalil implantát FINALDRAFT, což naznačuje sdílenou kódovou základnu a vývojové prostředí mezi FINALDRAFT a NANOREMOTE.
Pracovní hypotéza je, že WMLOADER používá stejný pevně zakódovaný klíč kvůli jeho integraci do jednotného procesu sestavení určeného pro zpracování více dat.
