NANOREMOTE Stražnji ulaz
Istraživači kibernetičke sigurnosti otkrili su potpuno opremljeni Windows backdoor pod nazivom NANOREMOTE, koji koristi Google Drive API za svoje Command-and-Control (C2) operacije. Ovaj zlonamjerni softver pokazuje sofisticirane mogućnosti za krađu podataka i udaljene operacije, što ga čini značajnom prijetnjom ciljanim organizacijama.
Sadržaj
Veze na prethodne aktivnosti prijetnji
NANOREMOTE dijeli značajne sličnosti u kodu s drugim implantatom, poznatim kao FINALDRAFT (također poznat kao Squidoor), koji koristi Microsoft Graph API za C2. FINALDRAFT se pripisuje skupini prijetnji označenoj kao REF7707 (također poznatom kao CL-STA-0049, Earth Alux i Jewelbug).
Vjeruje se da je REF7707 sumnjiva kineska skupina za kibernetičku špijunažu koja je ciljala:
- Vladine agencije
- Obrambene organizacije
- Telekomunikacijske tvrtke
- Obrazovne institucije
- Zrakoplovni sektori
Aktivnost grupe uočena je u jugoistočnoj Aziji i Južnoj Americi od ožujka 2023. Značajno je da su istraživači u listopadu 2025. povezali REF7707 s petomjesečnim upadom u ruskog pružatelja IT usluga.
Mogućnosti i arhitektura zlonamjernog softvera
Osnovna funkcionalnost NANOREMOTE-a vrti se oko korištenja Google Drive API-ja za eksfiltraciju podataka i pripremu korisnog tereta, stvarajući diskretan i teško uočljiv komunikacijski kanal za napadače. Njegov sustav za upravljanje zadacima dizajniran je za stavljanje prijenosa datoteka u red čekanja, rukovanje pauziranjem i nastavkom tih prijenosa, omogućavanje operaterima otkazivanje tekućih operacija i generiranje tokena za osvježavanje kako bi se održala trajna aktivnost.
Sam backdoor je izgrađen u C++ i sposoban je za opsežno izviđanje zaraženih hostova, izvršavanje datoteka i sistemskih naredbi te premještanje podataka između kompromitiranih okruženja i Google diska. Također održava komunikaciju s čvrsto kodiranom, neusmjerljivom IP adresom koristeći standardni HTTP promet. Tijekom ove komunikacije, JSON podaci se šalju putem POST zahtjeva nakon što su komprimirani sa Zlib-om i šifrirani pomoću AES-CBC-a sa 16-bajtnim ključem (558bec83ec40535657833d7440001c00). Svi odlazni zahtjevi oslanjaju se na putanju /api/client i identificiraju se pomoću niza NanoRemote/1.0 User-Agent.
Zlonamjerni softver oslanja se na skup od 22 rukovatelja naredbama koji mu zajedno omogućuju prikupljanje sistemskih informacija, manipuliranje datotekama i direktorijima, izvršavanje prenosivih izvršnih datoteka koje se već nalaze na disku, brisanje predmemoriranih podataka, kontrolu premještanja datoteka na i s Google diska te prekid vlastitog rada kada se to od njega zatraži.
Lanac zaraze započinje programom za učitavanje poznatim kao WMLOADER, iako metoda koja se koristi za isporuku NANOREMOTE žrtvama ostaje nepoznata. WMLOADER se maskira kao komponenta za rukovanje rušenjem BDReinit.exe, datoteka koja se obično povezuje s legitimnim alatom za kibernetičku sigurnost, i odgovorna je za dešifriranje shellcodea koji u konačnici pokreće stražnja vrata.
Pokretanje stražnjih vrata
Artefakt pod nazivom wmsetup.log, otkriven na Filipinima 3. listopada 2025., može se dešifrirati pomoću WMLOADER-a pomoću istog 16-bajtnog ključa. Ovaj zapisnik otkrio je implantat FINALDRAFT-a, što sugerira zajedničku kodnu bazu i razvojno okruženje između FINALDRAFT-a i NANOREMOTE-a.
Radna hipoteza je da WMLOADER koristi isti čvrsto kodirani ključ zbog svoje integracije u objedinjeni proces izgradnje dizajniran za rukovanje višestrukim korisnim teretima.
