NANOREMOTE बैकडोर

साइबर सुरक्षा शोधकर्ताओं ने NANOREMOTE नामक एक पूर्ण विकसित विंडोज बैकडोर का पता लगाया है, जो अपने कमांड-एंड-कंट्रोल (C2) कार्यों के लिए Google ड्राइव API का उपयोग करता है। यह मैलवेयर डेटा चोरी और दूरस्थ संचालन के लिए परिष्कृत क्षमताओं का प्रदर्शन करता है, जिससे यह लक्षित संगठनों के लिए एक गंभीर खतरा बन जाता है।

पिछली खतरे की गतिविधि के लिंक

NANOREMOTE का कोड अन्य इम्प्लांट, FINALDRAFT (जिसे Squidoor भी कहा जाता है) से काफी मिलता-जुलता है, जो C2 के लिए Microsoft Graph API का उपयोग करता है। FINALDRAFT को REF7707 (जिसे CL-STA-0049, Earth Alux और Jewelbug के नाम से भी जाना जाता है) नामक खतरे के समूह से जोड़ा गया है।

REF7707 एक संदिग्ध चीनी साइबर जासूसी समूह माना जा रहा है जिसने निम्नलिखित को निशाना बनाया है:

• सरकारी एजेंसियों
• रक्षा संगठनों
• दूरसंचार कंपनियां
• शिक्षण संस्थानों
• विमानन क्षेत्र

मार्च 2023 से दक्षिण पूर्व एशिया और दक्षिण अमेरिका में इस समूह की गतिविधियों पर नज़र रखी जा रही है। विशेष रूप से, अक्टूबर 2025 में, शोधकर्ताओं ने REF7707 को एक रूसी आईटी सेवा प्रदाता के खिलाफ पांच महीने तक चले घुसपैठ से जोड़ा।

मैलवेयर की क्षमताएं और संरचना

NANOREMOTE की मुख्य कार्यप्रणाली Google Drive API का उपयोग करके डेटा की चोरी और पेलोड को व्यवस्थित करने पर केंद्रित है, जिससे हमलावरों के लिए एक गोपनीय और पता लगाना मुश्किल संचार चैनल बनता है। इसका टास्क मैनेजमेंट सिस्टम फ़ाइल स्थानांतरण को कतारबद्ध करने, स्थानांतरण को रोकने और फिर से शुरू करने, ऑपरेटरों को चल रहे कार्यों को रद्द करने की अनुमति देने और निरंतर गतिविधि बनाए रखने के लिए रिफ्रेश टोकन उत्पन्न करने के लिए डिज़ाइन किया गया है।

यह बैकडोर C++ में निर्मित है और संक्रमित होस्ट पर व्यापक जासूसी करने, फ़ाइलें और सिस्टम कमांड निष्पादित करने और समझौता किए गए वातावरण और Google ड्राइव के बीच डेटा स्थानांतरित करने में सक्षम है। यह मानक HTTP ट्रैफ़िक का उपयोग करके एक हार्ड-कोडेड, गैर-राउटेबल IP पते के साथ संचार भी बनाए रखता है। इस संचार के दौरान, JSON डेटा को Zlib से संपीड़ित करने और 16-बाइट कुंजी (558bec83ec40535657833d7440001c00) के साथ AES-CBC का उपयोग करके एन्क्रिप्ट करने के बाद POST अनुरोधों के माध्यम से भेजा जाता है। सभी आउटबाउंड अनुरोध /api/client पथ पर निर्भर करते हैं और NanoRemote/1.0 User-Agent स्ट्रिंग का उपयोग करके स्वयं की पहचान करते हैं।

यह मैलवेयर 22 कमांड हैंडलरों के एक समूह पर निर्भर करता है जो सामूहिक रूप से इसे सिस्टम की जानकारी इकट्ठा करने, फाइलों और निर्देशिकाओं में हेरफेर करने, डिस्क पर पहले से मौजूद पोर्टेबल निष्पादन योग्य फाइलों को निष्पादित करने, कैश किए गए डेटा को साफ़ करने, Google ड्राइव से और उसमें फाइलों की आवाजाही को नियंत्रित करने और निर्देश मिलने पर अपने स्वयं के संचालन को समाप्त करने में सक्षम बनाते हैं।

संक्रमण की शुरुआत WMLOADER नामक लोडर से होती है, हालांकि NANOREMOTE को पीड़ितों तक पहुंचाने का तरीका अभी तक अज्ञात है। WMLOADER क्रैश-हैंडलिंग कंपोनेंट BDReinit.exe के रूप में छद्मवेश धारण करता है, जो आमतौर पर एक वैध साइबर सुरक्षा उपकरण से जुड़ी फाइल होती है, और यह उस शेलकोड को डिक्रिप्ट करने के लिए जिम्मेदार है जो अंततः बैकडोर को लॉन्च करता है।

बैकडोर लॉन्च करना

3 अक्टूबर, 2025 को फिलीपींस में wmsetup.log नामक एक आर्टिफैक्ट की खोज की गई, जिसे WMLOADER द्वारा उसी 16-बाइट कुंजी का उपयोग करके डिक्रिप्ट किया जा सकता है। इस लॉग ने FINALDRAFT इम्प्लांट का खुलासा किया, जो FINALDRAFT और NANOREMOTE के बीच एक साझा कोडबेस और विकास वातावरण का संकेत देता है।

कार्यशील परिकल्पना यह है कि WMLOADER एक ही हार्ड-कोडेड कुंजी का उपयोग करता है क्योंकि यह एक एकीकृत बिल्ड प्रक्रिया में एकीकृत है जिसे कई पेलोड को संभालने के लिए डिज़ाइन किया गया है।