NANOREMOTE ब्याकडोर

साइबर सुरक्षा अनुसन्धानकर्ताहरूले NANOREMOTE नामक पूर्ण रूपमा सुविधायुक्त विन्डोज ब्याकडोर पत्ता लगाएका छन्, जसले यसको कमाण्ड-एन्ड-कन्ट्रोल (C2) सञ्चालनका लागि गुगल ड्राइभ एपीआई प्रयोग गर्दछ। यो मालवेयरले डेटा एक्सफिल्ट्रेसन र रिमोट अपरेशनहरूको लागि परिष्कृत क्षमताहरू प्रदर्शन गर्दछ, जसले यसलाई लक्षित संस्थाहरूको लागि महत्त्वपूर्ण खतरा बनाउँछ।

अघिल्लो खतरा गतिविधिको लिङ्कहरू

NANOREMOTE ले अर्को इम्प्लान्टसँग उल्लेखनीय कोड समानताहरू साझा गर्दछ, जसलाई FINALDRAFT (Squidoor पनि भनिन्छ) भनिन्छ, जसले C2 को लागि Microsoft Graph API प्रयोग गर्दछ। FINALDRAFT लाई REF7707 (CL-STA-0049, Earth Alux, र Jewelbug को रूपमा पनि चिनिन्छ) नामित खतरा क्लस्टरसँग श्रेय दिइएको छ।

REF7707 एक संदिग्ध चिनियाँ साइबर जासूसी समूह हो भन्ने विश्वास गरिन्छ जसले लक्षित गरेको छ:

• सरकारी एजेन्सीहरू
• रक्षा संगठनहरू
• दूरसञ्चार कम्पनीहरू
• शैक्षिक संस्थाहरू
• उड्डयन क्षेत्रहरू

मार्च २०२३ देखि दक्षिणपूर्वी एसिया र दक्षिण अमेरिकामा समूहको गतिविधि अवलोकन गरिएको छ। उल्लेखनीय कुरा के छ भने, अक्टोबर २०२५ मा, अनुसन्धानकर्ताहरूले REF7707 लाई रूसी आईटी सेवा प्रदायक विरुद्ध पाँच महिनाको घुसपैठसँग जोडेका थिए।

मालवेयर क्षमताहरू र वास्तुकला

NANOREMOTE को मुख्य कार्यक्षमता डेटा एक्सफिल्ट्रेसन र पेलोड स्टेजिङ दुवैको लागि गुगल ड्राइभ एपीआईको लाभ उठाउने वरिपरि घुम्छ, आक्रमणकारीहरूको लागि एक विवेकी र पत्ता लगाउन गाह्रो सञ्चार च्यानल सिर्जना गर्दछ। यसको कार्य व्यवस्थापन प्रणाली फाइल स्थानान्तरणहरूलाई लामबद्ध गर्न, ती स्थानान्तरणहरूको पज र पुन: सुरु गर्न ह्यान्डल गर्न, अपरेटरहरूलाई चलिरहेको सञ्चालनहरू रद्द गर्न अनुमति दिन, र निरन्तर गतिविधि कायम राख्न रिफ्रेस टोकनहरू उत्पन्न गर्न डिजाइन गरिएको हो।

ब्याकडोर आफैं C++ मा निर्मित छ र संक्रमित होस्टहरूमा व्यापक अनुसन्धान गर्न, फाइलहरू र प्रणाली आदेशहरू कार्यान्वयन गर्न, र सम्झौता गरिएको वातावरण र Google ड्राइभ बीच डेटा सार्न सक्षम छ। यसले मानक HTTP ट्राफिक प्रयोग गरेर हार्ड-कोडेड, गैर-राउटेबल IP ठेगानासँग सञ्चार पनि कायम राख्छ। यस सञ्चारको क्रममा, JSON डेटा Zlib सँग कम्प्रेस गरिसकेपछि POST अनुरोधहरू मार्फत पठाइन्छ र AES-CBC प्रयोग गरेर १६-बाइट कुञ्जी (५५८bec83ec40535657833d7440001c00) प्रयोग गरेर इन्क्रिप्ट गरिन्छ। सबै आउटबाउन्ड अनुरोधहरू /api/client मार्गमा निर्भर हुन्छन् र NanoRemote/1.0 प्रयोगकर्ता-एजेन्ट स्ट्रिङ प्रयोग गरेर आफूलाई पहिचान गर्छन्।

यो मालवेयर २२ वटा कमाण्ड ह्यान्डलरहरूको सेटमा निर्भर गर्दछ जसले सामूहिक रूपमा यसलाई प्रणाली जानकारी सङ्कलन गर्न, फाइलहरू र निर्देशिकाहरू हेरफेर गर्न, डिस्कमा पहिले नै अवस्थित पोर्टेबल कार्यान्वयनयोग्य फाइलहरू कार्यान्वयन गर्न, क्यास गरिएको डाटा खाली गर्न, गुगल ड्राइभमा र गुगल ड्राइभबाट फाइलहरूको आवागमन नियन्त्रण गर्न, र निर्देशन दिँदा यसको आफ्नै सञ्चालन समाप्त गर्न सक्षम बनाउँछ।

संक्रमण शृङ्खला WMLOADER भनेर चिनिने लोडरबाट सुरु हुन्छ, यद्यपि पीडितहरूलाई NANOREMOTE डेलिभर गर्न प्रयोग गरिएको विधि अज्ञात रहन्छ। WMLOADER ले क्र्यास-ह्यान्डलिंग कम्पोनेन्ट BDReinit.exe को रूपमा लुकाउँछ, जुन सामान्यतया वैध साइबर सुरक्षा उपकरणसँग सम्बन्धित फाइल हो, र शेलकोड डिक्रिप्ट गर्न जिम्मेवार हुन्छ जसले अन्ततः ब्याकडोर सुरु गर्छ।

ब्याकडोर सुरु गर्दै

अक्टोबर ३, २०२५ मा फिलिपिन्समा फेला परेको wmsetup.log नामक कलाकृतिलाई WMLOADER ले उही १६-बाइट कुञ्जी प्रयोग गरेर डिक्रिप्ट गर्न सक्छ। यो लगले FINALDRAFT इम्प्लान्ट प्रकट गर्‍यो, जसले FINALDRAFT र NANOREMOTE बीच साझा कोडबेस र विकास वातावरणको सुझाव दिन्छ।

काम गर्ने परिकल्पना यो हो कि WMLOADER ले धेरै पेलोडहरू ह्यान्डल गर्न डिजाइन गरिएको एकीकृत निर्माण प्रक्रियामा एकीकरणको कारणले गर्दा उही हार्ड-कोडेड कुञ्जी प्रयोग गर्दछ।