NANOREMOTE Bagdør
Cybersikkerhedsforskere har afdækket en fuldt udstyret Windows-bagdør ved navn NANOREMOTE, der udnytter Google Drive API'en til sine Command-and-Control (C2)-operationer. Denne malware udviser sofistikerede muligheder for dataudvinding og fjernoperationer, hvilket gør den til en betydelig trussel mod målrettede organisationer.
Indholdsfortegnelse
Links til tidligere trusselsaktivitet
NANOREMOTE deler bemærkelsesværdige kodeligheder med et andet implantat, kendt som FINALDRAFT (også kaldet Squidoor), som bruger Microsoft Graph API til C2. FINALDRAFT tilskrives en trusselsklynge betegnet REF7707 (også kendt som CL-STA-0049, Earth Alux og Jewelbug).
REF7707 menes at være en formodet kinesisk cyberspionagegruppe, der har målrettet:
- Offentlige myndigheder
- Forsvarsorganisationer
- Telekommunikationsselskaber
- Uddannelsesinstitutioner
- Luftfartssektorer
Gruppens aktivitet er blevet observeret i Sydøstasien og Sydamerika siden marts 2023. Det er værd at bemærke, at forskere i oktober 2025 forbandt REF7707 med en fem måneder lang indtrængen mod en russisk IT-udbyder.
Malware-funktioner og -arkitektur
NANOREMOTEs kernefunktionalitet drejer sig om at udnytte Google Drive API til både dataudfiltrering og payloadstaging, hvilket skaber en diskret og vanskeligt opdaget kommunikationskanal for angribere. Dets opgavestyringssystem er designet til at sætte filoverførsler i kø, håndtere pausering og genoptagelse af disse overførsler, give operatører mulighed for at annullere igangværende operationer og generere opdateringstokens for at opretholde vedvarende aktivitet.
Selve bagdøren er bygget i C++ og er i stand til at udføre omfattende rekognoscering af inficerede værter, udføre filer og systemkommandoer og flytte data mellem kompromitterede miljøer og Google Drive. Den opretholder også kommunikation med en hardcodet, ikke-routerbar IP-adresse ved hjælp af standard HTTP-trafik. Under denne kommunikation sendes JSON-data via POST-anmodninger efter at være blevet komprimeret med Zlib og krypteret ved hjælp af AES-CBC med en 16-byte nøgle (558bec83ec40535657833d7440001c00). Alle udgående anmodninger er afhængige af /api/client-stien og identificerer sig selv ved hjælp af NanoRemote/1.0 User-Agent-strengen.
Malwaren er afhængig af et sæt af 22 kommandohåndteringsprogrammer, der tilsammen gør det muligt for den at indsamle systemoplysninger, manipulere filer og mapper, udføre bærbare eksekverbare filer, der allerede findes på disken, rydde cachelagrede data, kontrollere flytningen af filer til og fra Google Drev og afslutte sin egen handling, når den får besked på det.
Infektionskæden starter med en loader kendt som WMLOADER, selvom metoden, der bruges til at levere NANOREMOTE til ofrene, stadig er ukendt. WMLOADER forklædt som den nedbrudshåndteringskomponent BDReinit.exe, en fil, der typisk er forbundet med et legitimt cybersikkerhedsværktøj, og er ansvarlig for at dekryptere den shellcode, der i sidste ende åbner bagdøren.
Åbning af bagdøren
En artefakt ved navn wmsetup.log, opdaget i Filippinerne den 3. oktober 2025, kan dekrypteres af WMLOADER ved hjælp af den samme 16-byte nøgle. Denne log afslørede et FINALDRAFT-implantat, hvilket tyder på en delt kodebase og udviklingsmiljø mellem FINALDRAFT og NANOREMOTE.
Arbejdshypotesen er, at WMLOADER bruger den samme hardkodede nøgle på grund af dens integration i en samlet byggeproces, der er designet til at håndtere flere nyttelaster.
