درب پشتی NANOREMOTE

محققان امنیت سایبری یک درب پشتی ویندوز با امکانات کامل به نام NANOREMOTE را کشف کرده‌اند که از API گوگل درایو برای عملیات فرماندهی و کنترل (C2) خود استفاده می‌کند. این بدافزار قابلیت‌های پیچیده‌ای برای استخراج داده‌ها و عملیات از راه دور از خود نشان می‌دهد و آن را به تهدیدی مهم برای سازمان‌های هدف تبدیل می‌کند.

پیوندها به فعالیت‌های تهدیدآمیز قبلی

NANOREMOTE شباهت‌های کد قابل توجهی با یک ایمپلنت دیگر به نام FINALDRAFT (که با نام Squidoor نیز شناخته می‌شود) دارد که از رابط برنامه‌نویسی کاربردی Microsoft Graph برای C2 استفاده می‌کند. FINALDRAFT به یک خوشه تهدید با نام REF7707 (که با نام‌های CL-STA-0049، Earth Alux و Jewelbug نیز شناخته می‌شود) نسبت داده می‌شود.

اعتقاد بر این است که REF7707 یک گروه جاسوسی سایبری چینی است که موارد زیر را هدف قرار داده است:

• سازمان‌های دولتی
• سازمان‌های دفاعی
• شرکت‌های مخابراتی
• موسسات آموزشی
• بخش‌های هوانوردی

فعالیت این گروه از مارس ۲۰۲۳ در جنوب شرقی آسیا و آمریکای جنوبی مشاهده شده است. نکته قابل توجه این است که در اکتبر ۲۰۲۵، محققان REF7707 را به یک نفوذ پنج ماهه علیه یک ارائه دهنده خدمات فناوری اطلاعات روسی مرتبط دانستند.

قابلیت‌ها و معماری بدافزار

عملکرد اصلی NANOREMOTE حول محور استفاده از API گوگل درایو برای استخراج داده‌ها و مرحله‌بندی بار داده می‌چرخد و یک کانال ارتباطی نامحسوس و دشوار برای شناسایی مهاجمان ایجاد می‌کند. سیستم مدیریت وظایف آن به گونه‌ای طراحی شده است که انتقال فایل‌ها را در صف قرار دهد، مکث و از سرگیری این انتقال‌ها را مدیریت کند، به اپراتورها اجازه دهد عملیات در حال انجام را لغو کنند و توکن‌های به‌روزرسانی را برای حفظ فعالیت مداوم تولید کند.

این درِ پشتی با زبان برنامه‌نویسی ++C ساخته شده است و قادر به انجام شناسایی گسترده روی میزبان‌های آلوده، اجرای فایل‌ها و دستورات سیستمی و جابجایی داده‌ها بین محیط‌های آسیب‌دیده و گوگل درایو است. همچنین با استفاده از ترافیک استاندارد HTTP، ارتباط خود را با یک آدرس IP غیرقابل مسیریابی و کدگذاری‌شده‌ی سخت حفظ می‌کند. در طول این ارتباط، داده‌های JSON پس از فشرده‌سازی با Zlib و رمزگذاری با استفاده از AES-CBC با یک کلید ۱۶ بایتی (558bec83ec40535657833d7440001c00) از طریق درخواست‌های POST ارسال می‌شوند. تمام درخواست‌های خروجی به مسیر /api/client متکی هستند و خود را با استفاده از رشته‌ی NanoRemote/1.0 User-Agent شناسایی می‌کنند.

این بدافزار به مجموعه‌ای از ۲۲ کنترل‌کننده‌ی فرمان متکی است که در مجموع آن را قادر می‌سازند تا اطلاعات سیستم را جمع‌آوری کند، فایل‌ها و دایرکتوری‌ها را دستکاری کند، فایل‌های اجرایی قابل حمل موجود در دیسک را اجرا کند، داده‌های ذخیره شده را پاک کند، انتقال فایل‌ها به و از گوگل درایو را کنترل کند و در صورت دریافت دستور، عملیات خود را خاتمه دهد.

زنجیره آلودگی با یک لودر معروف به WMLOADER آغاز می‌شود، اگرچه روش مورد استفاده برای ارائه NANOREMOTE به قربانیان هنوز ناشناخته است. WMLOADER خود را به عنوان مؤلفه مدیریت خرابی BDReinit.exe، فایلی که معمولاً با یک ابزار امنیت سایبری قانونی مرتبط است، جا می‌زند و مسئول رمزگشایی shellcode است که در نهایت backdoor را راه‌اندازی می‌کند.

راه‌اندازی درب پشتی

یک شیء مصنوعی به نام wmsetup.log که در ۳ اکتبر ۲۰۲۵ در فیلیپین کشف شد، می‌تواند توسط WMLOADER با استفاده از همان کلید ۱۶ بایتی رمزگشایی شود. این گزارش، یک ایمپلنت FINALDRAFT را نشان داد که نشان‌دهنده‌ی یک کدبیس و محیط توسعه‌ی مشترک بین FINALDRAFT و NANOREMOTE است.

فرضیه‌ی مطرح‌شده این است که WMLOADER به دلیل ادغام در یک فرآیند ساخت یکپارچه که برای مدیریت چندین بار داده طراحی شده است، از همان کلید هاردکد شده استفاده می‌کند.