Pintu Belakang NANOREMOTE
Penyelidik keselamatan siber telah menemui pintu belakang Windows berciri penuh bernama NANOREMOTE, yang memanfaatkan API Google Drive untuk operasi Perintah dan Kawalan (C2). Perisian hasad ini mempamerkan keupayaan canggih untuk pengekstrakan data dan operasi jarak jauh, menjadikannya ancaman yang ketara kepada organisasi yang disasarkan.
Isi kandungan
Pautan ke Aktiviti Ancaman Sebelumnya
NANOREMOTE berkongsi persamaan kod yang ketara dengan implan lain, yang dikenali sebagai FINALDRAFT (juga dirujuk sebagai Squidoor), yang menggunakan Microsoft Graph API untuk C2. FINALDRAFT dikaitkan dengan kluster ancaman yang ditetapkan sebagai REF7707 (juga dikenali sebagai CL-STA-0049, Earth Alux dan Jewelbug).
REF7707 dipercayai merupakan kumpulan pengintipan siber China yang disyaki telah menyasarkan:
- Agensi kerajaan
- Organisasi pertahanan
- Syarikat telekomunikasi
- Institusi pendidikan
- Sektor penerbangan
Aktiviti kumpulan itu telah diperhatikan di Asia Tenggara dan Amerika Selatan sejak Mac 2023. Terutamanya, pada Oktober 2025, para penyelidik mengaitkan REF7707 dengan pencerobohan selama lima bulan terhadap penyedia perkhidmatan IT Rusia.
Keupayaan dan Senibina Perisian Hasad
Fungsi teras NANOREMOTE berkisar tentang memanfaatkan API Google Drive untuk kedua-dua penyingkiran data dan pementasan muatan, mewujudkan saluran komunikasi yang tersembunyi dan sukar dikesan untuk penyerang. Sistem pengurusan tugasnya direka bentuk untuk mengantri pemindahan fail, mengendalikan penjeda dan penyambungan semula pemindahan tersebut, membolehkan pengendali membatalkan operasi yang sedang berjalan dan menjana token penyegaran untuk mengekalkan aktiviti yang berterusan.
Pintu belakang itu sendiri dibina dalam C++ dan mampu melakukan peninjauan meluas pada hos yang dijangkiti, melaksanakan fail dan arahan sistem serta memindahkan data antara persekitaran yang terjejas dan Google Drive. Ia juga mengekalkan komunikasi dengan alamat IP yang dikodkan keras dan tidak boleh dihalakan menggunakan trafik HTTP standard. Semasa komunikasi ini, data JSON dihantar melalui permintaan POST selepas dimampatkan dengan Zlib dan disulitkan menggunakan AES-CBC dengan kunci 16-bait (558bec83ec40535657833d7440001c00). Semua permintaan keluar bergantung pada laluan /api/client dan mengenal pasti diri mereka menggunakan rentetan Ejen Pengguna NanoRemote/1.0.
Perisian hasad ini bergantung pada satu set 22 pengendali arahan yang secara kolektif membolehkannya mengumpulkan maklumat sistem, memanipulasi fail dan direktori, melaksanakan fail boleh laku mudah alih yang sedia ada pada cakera, mengosongkan data yang disimpan dalam cache, mengawal pergerakan fail ke dan dari Google Drive dan menamatkan operasinya sendiri apabila diarahkan.
Rantaian jangkitan bermula dengan pemuat yang dikenali sebagai WMLOADER, walaupun kaedah yang digunakan untuk menghantar NANOREMOTE kepada mangsa masih tidak diketahui. WMLOADER menyamar sebagai komponen pengendalian ranap BDReinit.exe, fail yang biasanya dikaitkan dengan alat keselamatan siber yang sah, dan bertanggungjawab untuk menyahsulit kod shell yang akhirnya melancarkan pintu belakang.
Melancarkan Pintu Belakang
Satu artifak bernama wmsetup.log, yang ditemui di Filipina pada 3 Oktober 2025, boleh dinyahsulit oleh WMLOADER menggunakan kunci 16-bait yang sama. Log ini mendedahkan implan FINALDRAFT, yang mencadangkan pangkalan kod dan persekitaran pembangunan yang dikongsi antara FINALDRAFT dan NANOREMOTE.
Hipotesis kerja adalah bahawa WMLOADER menggunakan kunci berkod keras yang sama kerana penyepaduannya dalam proses binaan terpadu yang direka untuk mengendalikan berbilang muatan.
