NANOREMOTE Backdoor
Badacze cyberbezpieczeństwa odkryli w pełni funkcjonalnego backdoora systemu Windows o nazwie NANOREMOTE, który wykorzystuje interfejs API Dysku Google do operacji Command-and-Control (C2). To złośliwe oprogramowanie wykazuje zaawansowane możliwości eksfiltracji danych i operacji zdalnych, co czyni je poważnym zagrożeniem dla atakowanych organizacji.
Spis treści
Linki do poprzednich działań związanych z zagrożeniami
NANOREMOTE wykazuje znaczące podobieństwa w kodzie do innego implantu, znanego jako FINALDRAFT (nazywanego również Squidoor), który wykorzystuje interfejs API Microsoft Graph dla C2. FINALDRAFT jest przypisywany do klastra zagrożeń oznaczonego jako REF7707 (znanego również jako CL-STA-0049, Earth Alux i Jewelbug).
Uważa się, że REF7707 to podejrzana chińska grupa zajmująca się cyberszpiegostwem, której celem są:
- Agencje rządowe
- Organizacje obronne
- Firmy telekomunikacyjne
- Placówki edukacyjne
- Sektory lotnicze
Aktywność grupy jest obserwowana w Azji Południowo-Wschodniej i Ameryce Południowej od marca 2023 r. Warto zauważyć, że w październiku 2025 r. badacze powiązali REF7707 z pięciomiesięcznym włamaniem do rosyjskiego dostawcy usług informatycznych.
Możliwości i architektura złośliwego oprogramowania
Podstawowa funkcjonalność NANOREMOTE opiera się na wykorzystaniu API Dysku Google do eksfiltracji danych i przygotowania ładunku, tworząc dyskretny i trudny do wykrycia kanał komunikacji dla atakujących. System zarządzania zadaniami został zaprojektowany do kolejkowania transferów plików, obsługi wstrzymywania i wznawiania tych transferów, umożliwiania operatorom anulowania trwających operacji oraz generowania tokenów odświeżania w celu utrzymania ciągłej aktywności.
Sam backdoor jest zbudowany w C++ i umożliwia szeroko zakrojone rozpoznanie zainfekowanych hostów, wykonywanie plików i poleceń systemowych oraz przesyłanie danych między zainfekowanymi środowiskami a Dyskiem Google. Utrzymuje również komunikację z zakodowanym na stałe, nieroutowalnym adresem IP za pomocą standardowego ruchu HTTP. Podczas tej komunikacji dane JSON są przesyłane za pomocą żądań POST po skompresowaniu za pomocą biblioteki Zlib i zaszyfrowaniu algorytmem AES‑CBC z 16-bajtowym kluczem (558bec83ec40535657833d7440001c00). Wszystkie żądania wychodzące bazują na ścieżce /api/client i identyfikują się za pomocą ciągu NanoRemote/1.0 User-Agent.
Szkodliwe oprogramowanie wykorzystuje zestaw 22 modułów obsługi poleceń, które łącznie umożliwiają mu gromadzenie informacji o systemie, manipulowanie plikami i katalogami, wykonywanie przenośnych plików wykonywalnych już znajdujących się na dysku, czyszczenie danych z pamięci podręcznej, kontrolowanie przesyłania plików do i z Dysku Google oraz kończenia własnych operacji po otrzymaniu polecenia.
Łańcuch infekcji rozpoczyna się od programu ładującego znanego jako WMLOADER, choć metoda użyta do dostarczenia NANOREMOTE ofiarom pozostaje nieznana. WMLOADER podszywa się pod komponent obsługi awarii BDReinit.exe, plik zazwyczaj powiązany z legalnym narzędziem cyberbezpieczeństwa, i odpowiada za odszyfrowanie kodu powłoki, który ostatecznie uruchamia tylne drzwi.
Uruchomienie Backdoor
Artefakt o nazwie wmsetup.log, odkryty na Filipinach 3 października 2025 roku, można odszyfrować za pomocą WMLOADERA przy użyciu tego samego 16-bajtowego klucza. Ten log ujawnił implant FINALDRAFT, co sugeruje wspólną bazę kodu i środowisko programistyczne między FINALDRAFT i NANOREMOTE.
Hipoteza robocza jest taka, że WMLOADER używa tego samego, zakodowanego na stałe klucza ze względu na jego integrację w ujednoliconym procesie kompilacji zaprojektowanym do obsługi wielu ładunków.
