NANOREMOTE-takaovi
Kyberturvallisuustutkijat ovat paljastaneet täysin varustellun Windows-takaoven nimeltä NANOREMOTE, joka hyödyntää Google Drive API:a komento- ja hallintatoimintoihinsa (C2). Tällä haittaohjelmalla on kehittyneitä ominaisuuksia tiedon vuotamiseen ja etätoimintoihin, mikä tekee siitä merkittävän uhan kohdeorganisaatioille.
Sisällysluettelo
Linkit aiempaan uhkatoimintaan
NANOREMOTE:lla on huomattavia koodiyhtäläisyyksiä toisen implantin, FINALDRAFT:n (tunnetaan myös nimellä Squidoor), kanssa, joka hyödyntää Microsoft Graph API:a C2:lle. FINALDRAFT liitetään uhkaklusteriin REF7707 (tunnetaan myös nimillä CL-STA-0049, Earth Alux ja Jewelbug).
REF7707:n uskotaan olevan epäilty kiinalainen kybervakoiluryhmä, joka on kohdistanut iskut seuraaviin ryhmiin:
- Valtion virastot
- Puolustusjärjestöt
- Televiestintäyritykset
- Oppilaitokset
- Ilmailualat
Ryhmän toimintaa on havaittu Kaakkois-Aasiassa ja Etelä-Amerikassa maaliskuusta 2023 lähtien. Erityisesti lokakuussa 2025 tutkijat yhdistivät REF7707:n viisi kuukautta kestäneeseen tunkeutumiseen venäläistä IT-palveluntarjoajaa vastaan.
Haittaohjelmien ominaisuudet ja arkkitehtuuri
NANOREMOTE:n ydintoiminto perustuu Google Drive -rajapinnan hyödyntämiseen sekä tiedonsiirtoon että hyötykuormien valmisteluun, mikä luo huomaamattoman ja vaikeasti havaittavan viestintäkanavan hyökkääjille. Sen tehtävienhallintajärjestelmä on suunniteltu jonottamaan tiedostojen siirtoja, käsittelemään siirtojen keskeyttämisen ja jatkamisen, mahdollistamaan operaattoreille meneillään olevien toimintojen peruuttamisen ja luomaan päivitystunnuksia jatkuvan toiminnan ylläpitämiseksi.
Itse takaovi on rakennettu C++:lla ja pystyy suorittamaan laajan tiedustelun tartunnan saaneista koneista, suorittamaan tiedostoja ja järjestelmäkomentoja sekä siirtämään tietoja vaarantuneiden ympäristöjen ja Google Driven välillä. Se ylläpitää myös viestintää kovakoodatun, ei-reititettävän IP-osoitteen kanssa käyttäen tavallista HTTP-liikennettä. Tämän viestinnän aikana JSON-tiedot lähetetään POST-pyyntöjen kautta sen jälkeen, kun ne on pakattu Zlibillä ja salattu AES-CBC:llä 16-tavuisella avaimella (558bec83ec40535657833d7440001c00). Kaikki lähtevät pyynnöt perustuvat /api/client-polkuun ja tunnistautuvat NanoRemote/1.0 User-Agent -merkkijonolla.
Haittaohjelma perustuu 22 komentokäsittelijän joukkoon, jotka yhdessä mahdollistavat sen kerätä järjestelmätietoja, käsitellä tiedostoja ja hakemistoja, suorittaa levyllä jo olevia kannettavia suoritettavia tiedostoja, tyhjentää välimuistissa olevia tietoja, hallita tiedostojen siirtoa Google Driveen ja Drivesta sekä lopettaa oman toimintansa käskyjen mukaisesti.
Tartuntaketju alkaa WMLOADER-nimisellä lataajalla, vaikka NANOREMOTE-tiedoston uhreille toimittamiseen käytetty menetelmä on edelleen tuntematon. WMLOADER naamioituu kaatumisten käsittelykomponentiksi BDReinit.exe, tiedostoksi, joka tyypillisesti yhdistetään lailliseen kyberturvallisuustyökaluun, ja se vastaa takaoven lopulta käynnistävän komentokoodin salauksen purkamisesta.
Takaoven käynnistäminen
Filippiineiltä 3. lokakuuta 2025 löydetty wmsetup.log-niminen artefakti voidaan purkaa WMLOADERilla käyttämällä samaa 16-tavuista avainta. Tämä loki paljasti FINALDRAFT-implantin, mikä viittaa jaettuun koodikantaan ja kehitysympäristöön FINALDRAFTin ja NANOREMOTE:n välillä.
Työhypoteesina on, että WMLOADER käyttää samaa kovakoodattua avainta, koska se on integroitu yhtenäiseen rakennusprosessiin, joka on suunniteltu käsittelemään useita hyötykuormia.
