NANOREMOTE Achterdeur
Onderzoekers op het gebied van cyberbeveiliging hebben een volledig functionele Windows-achterdeur ontdekt met de naam NANOREMOTE, die de Google Drive API gebruikt voor zijn Command-and-Control (C2)-operaties. Deze malware beschikt over geavanceerde mogelijkheden voor data-exfiltratie en beheer op afstand, waardoor het een aanzienlijke bedreiging vormt voor de getroffen organisaties.
Inhoudsopgave
Links naar eerdere dreigingsactiviteiten
NANOREMOTE vertoont opvallende codeovereenkomsten met een ander implantaat, bekend als FINALDRAFT (ook wel Squidoor genoemd), dat de Microsoft Graph API gebruikt voor C2. FINALDRAFT wordt toegeschreven aan een dreigingscluster met de aanduiding REF7707 (ook bekend als CL-STA-0049, Earth Alux en Jewelbug).
REF7707 wordt beschouwd als een vermoedelijke Chinese cyberespionagegroep die zich heeft gericht op:
- Overheidsinstanties
- Defensieorganisaties
- Telecommunicatiebedrijven
- Onderwijsinstellingen
- Luchtvaartsectoren
De activiteiten van de groep zijn sinds maart 2023 waargenomen in Zuidoost-Azië en Zuid-Amerika. Opvallend is dat onderzoekers in oktober 2025 REF7707 in verband brachten met een vijf maanden durende inbraak bij een Russische IT-dienstverlener.
Mogelijkheden en architectuur van malware
De kernfunctionaliteit van NANOREMOTE draait om het benutten van de Google Drive API voor zowel data-exfiltratie als het klaarzetten van payloads, waardoor een discreet en moeilijk te detecteren communicatiekanaal voor aanvallers ontstaat. Het taakbeheersysteem is ontworpen om bestandsoverdrachten in de wachtrij te plaatsen, het pauzeren en hervatten van die overdrachten af te handelen, operators in staat te stellen lopende bewerkingen te annuleren en vernieuwingstokens te genereren om continue activiteit te garanderen.
De backdoor zelf is gebouwd in C++ en is in staat om uitgebreide verkenning uit te voeren op geïnfecteerde hosts, bestanden en systeemopdrachten uit te voeren en gegevens te verplaatsen tussen gecompromitteerde omgevingen en Google Drive. De backdoor onderhoudt ook communicatie met een hardgecodeerd, niet-routeerbaar IP-adres via standaard HTTP-verkeer. Tijdens deze communicatie worden JSON-gegevens verzonden via POST-verzoeken, nadat ze zijn gecomprimeerd met Zlib en versleuteld met AES-CBC met een 16-byte sleutel (558bec83ec40535657833d7440001c00). Alle uitgaande verzoeken maken gebruik van het pad /api/client en identificeren zichzelf met de User-Agent-string NanoRemote/1.0.
De malware maakt gebruik van een set van 22 commandohandlers die er gezamenlijk voor zorgen dat de malware systeeminformatie kan verzamelen, bestanden en mappen kan manipuleren, draagbare uitvoerbare bestanden kan uitvoeren die al op de schijf aanwezig zijn, cachegegevens kan wissen, het verplaatsen van bestanden van en naar Google Drive kan beheren en zichzelf kan beëindigen wanneer daartoe opdracht wordt gegeven.
De infectieketen begint met een loader genaamd WMLOADER, hoewel de methode waarmee NANOREMOTE aan slachtoffers wordt geleverd onbekend blijft. WMLOADER doet zich voor als het crashafhandelingscomponent BDReinit.exe, een bestand dat doorgaans wordt geassocieerd met een legitiem cybersecurityprogramma, en is verantwoordelijk voor het decoderen van de shellcode die uiteindelijk de backdoor activeert.
De achterdeur openen
Een artefact genaamd wmsetup.log, ontdekt op 3 oktober 2025 op de Filipijnen, kan door WMLOADER worden gedecodeerd met dezelfde 16-byte sleutel. Dit logbestand onthulde een FINALDRAFT-implantaat, wat wijst op een gedeelde codebasis en ontwikkelomgeving tussen FINALDRAFT en NANOREMOTE.
De werkingshypothese is dat WMLOADER dezelfde hardgecodeerde sleutel gebruikt vanwege de integratie in een uniform bouwproces dat is ontworpen om meerdere payloads te verwerken.
