NANOREMOTE Backdoor

사이버 보안 연구원들이 구글 드라이브 API를 활용하여 명령 및 제어(C2) 작업을 수행하는 완전한 기능을 갖춘 윈도우 백도어 'NANOREMOTE'를 발견했습니다. 이 악성 프로그램은 데이터 유출 및 원격 작업을 위한 정교한 기능을 보여주므로 대상 조직에 상당한 위협이 됩니다.

이전 위협 활동 링크

NANOREMOTE는 C2에 Microsoft Graph API를 사용하는 FINALDRAFT(Squidoor라고도 함)라는 또 다른 악성 프로그램과 코드에서 상당한 유사점을 보입니다. FINALDRAFT는 REF7707(CL-STA-0049, Earth Alux, Jewelbug라고도 함)이라는 위협 클러스터와 관련이 있습니다.

REF7707은 중국 사이버 스파이 조직으로 추정되며 다음과 같은 대상을 표적으로 삼은 것으로 알려져 있습니다.

• 정부 기관
• 국방 조직
• 통신 회사
• 교육기관
• 항공 부문

해당 그룹의 활동은 2023년 3월부터 동남아시아와 남미에서 관찰되었습니다. 특히, 2025년 10월 연구원들은 REF7707이 러시아 IT 서비스 제공업체를 대상으로 5개월간 지속된 침입 사건과 연관되어 있다고 밝혔습니다.

악성코드 기능 및 아키텍처

NANOREMOTE의 핵심 기능은 Google Drive API를 활용하여 데이터 유출 및 페이로드 스테이징을 수행하고, 공격자가 은밀하고 탐지하기 어려운 통신 채널을 구축하는 데 있습니다. 작업 관리 시스템은 파일 전송을 대기열에 추가하고, 전송을 일시 중지 및 재개하며, 운영자가 진행 중인 작업을 취소하고, 지속적인 활동을 유지하기 위한 갱신 토큰을 생성하도록 설계되었습니다.

이 백도어는 C++로 구축되었으며 감염된 호스트에 대한 광범위한 정찰, 파일 및 시스템 명령 실행, 감염된 환경과 Google Drive 간의 데이터 이동 등의 기능을 수행할 수 있습니다. 또한, 표준 HTTP 트래픽을 사용하여 하드코딩된 라우팅 불가능한 IP 주소와 통신을 유지합니다. 이 통신 과정에서 JSON 데이터는 Zlib으로 압축되고 16바이트 키(558bec83ec40535657833d7440001c00)를 사용하는 AES-CBC 암호화 방식으로 암호화된 후 POST 요청을 통해 전송됩니다. 모든 외부 요청은 /api/client 경로를 사용하며 NanoRemote/1.0 User-Agent 문자열을 사용하여 자신을 식별합니다.

해당 악성 프로그램은 22개의 명령 처리기를 사용하여 시스템 정보를 수집하고, 파일 및 디렉터리를 조작하고, 디스크에 이미 존재하는 실행 파일을 실행하고, 캐시된 데이터를 삭제하고, Google Drive로의 파일 이동을 제어하고, 지시에 따라 자체 작업을 종료할 수 있습니다.

감염 경로는 WMLOADER라는 로더로 시작되지만, NANOREMOTE를 피해자에게 전달하는 방법은 아직 알려지지 않았습니다. WMLOADER는 일반적으로 합법적인 사이버 보안 도구와 관련된 파일인 BDReinit.exe라는 크래시 처리 구성 요소로 위장하며, 궁극적으로 백도어를 실행하는 셸코드를 복호화하는 역할을 합니다.

백도어 실행하기

2025년 10월 3일 필리핀에서 발견된 wmsetup.log라는 아티팩트는 동일한 16바이트 키를 사용하여 WMLOADER로 복호화할 수 있습니다. 이 로그에는 FINALDRAFT 임플란트가 포함되어 있으며, 이는 FINALDRAFT와 NANOREMOTE가 코드베이스 및 개발 환경을 공유하고 있음을 시사합니다.

현재 가설은 WMLOADER가 여러 페이로드를 처리하도록 설계된 통합 빌드 프로세스에 통합되어 있기 때문에 동일한 하드코딩된 키를 사용한다는 것입니다.