Porta sul retro NANOREMOTE
I ricercatori di sicurezza informatica hanno scoperto una backdoor per Windows completa, chiamata NANOREMOTE, che sfrutta l'API di Google Drive per le sue operazioni di comando e controllo (C2). Questo malware presenta sofisticate capacità di esfiltrazione dei dati e operazioni da remoto, il che lo rende una minaccia significativa per le organizzazioni prese di mira.
Sommario
Collegamenti alle attività di minaccia precedenti
NANOREMOTE condivide notevoli somiglianze di codice con un altro impianto, noto come FINALDRAFT (noto anche come Squidoor), che utilizza la Microsoft Graph API per C2. FINALDRAFT è attribuito a un cluster di minacce denominato REF7707 (noto anche come CL-STA-0049, Earth Alux e Jewelbug).
Si ritiene che REF7707 sia un presunto gruppo cinese di spionaggio informatico che ha preso di mira:
- agenzie governative
- Organizzazioni di difesa
- aziende di telecomunicazioni
- Istituzioni educative
- Settori dell'aviazione
L'attività del gruppo è stata osservata nel Sud-est asiatico e in Sud America da marzo 2023. In particolare, nell'ottobre 2025, i ricercatori hanno collegato REF7707 a un'intrusione durata cinque mesi contro un fornitore di servizi IT russo.
Capacità e architettura del malware
La funzionalità principale di NANOREMOTE ruota attorno allo sfruttamento dell'API di Google Drive sia per l'esfiltrazione dei dati che per lo staging del payload, creando un canale di comunicazione discreto e difficile da rilevare per gli aggressori. Il suo sistema di gestione delle attività è progettato per mettere in coda i trasferimenti di file, gestirne la sospensione e la ripresa, consentire agli operatori di annullare le operazioni in corso e generare token di aggiornamento per mantenere l'attività persistente.
La backdoor stessa è sviluppata in C++ ed è in grado di eseguire ricognizioni approfondite sugli host infetti, eseguire file e comandi di sistema e spostare dati tra ambienti compromessi e Google Drive. Mantiene inoltre la comunicazione con un indirizzo IP hard-coded e non instradabile utilizzando il traffico HTTP standard. Durante questa comunicazione, i dati JSON vengono inviati tramite richieste POST dopo essere stati compressi con Zlib e crittografati utilizzando AES-CBC con una chiave a 16 byte (558bec83ec40535657833d7440001c00). Tutte le richieste in uscita si basano sul percorso /api/client e si identificano utilizzando la stringa User-Agent NanoRemote/1.0.
Il malware si basa su un set di 22 gestori di comandi che collettivamente gli consentono di raccogliere informazioni di sistema, manipolare file e directory, eseguire file eseguibili portatili già presenti sul disco, cancellare i dati memorizzati nella cache, controllare lo spostamento dei file da e verso Google Drive e terminare la propria operazione quando richiesto.
La catena di infezione inizia con un loader noto come WMLOADER, sebbene il metodo utilizzato per distribuire NANOREMOTE alle vittime rimanga sconosciuto. WMLOADER si maschera da componente di gestione degli arresti anomali BDReinit.exe, un file solitamente associato a uno strumento di sicurezza informatica legittimo, ed è responsabile della decrittazione dello shellcode che alla fine avvia la backdoor.
Lancio della Backdoor
Un artefatto denominato wmsetup.log, scoperto nelle Filippine il 3 ottobre 2025, può essere decifrato da WMLOADER utilizzando la stessa chiave a 16 byte. Questo registro ha rivelato un impianto FINALDRAFT, suggerendo una base di codice e un ambiente di sviluppo condivisi tra FINALDRAFT e NANOREMOTE.
L'ipotesi di lavoro è che WMLOADER utilizzi la stessa chiave hard-coded grazie alla sua integrazione in un processo di build unificato progettato per gestire più payload.
