Porta dos fundos NANOREMOTE
Pesquisadores de cibersegurança descobriram um backdoor completo para Windows chamado NANOREMOTE, que utiliza a API do Google Drive para suas operações de Comando e Controle (C2). Este malware apresenta recursos sofisticados para exfiltração de dados e operações remotas, representando uma ameaça significativa para organizações visadas.
Índice
Links para atividades de ameaças anteriores
O NANOREMOTE compartilha semelhanças notáveis de código com outro implante, conhecido como FINALDRAFT (também chamado de Squidoor), que utiliza a API do Microsoft Graph para C2. O FINALDRAFT é atribuído a um cluster de ameaças designado REF7707 (também conhecido como CL-STA-0049, Earth Alux e Jewelbug).
Acredita-se que o grupo REF7707 seja um suspeito grupo chinês de ciberespionagem que teve como alvo:
- Agências governamentais
- Organizações de defesa
- Empresas de telecomunicações
- Instituições educacionais
- Setores da aviação
A atividade do grupo foi observada no Sudeste Asiático e na América do Sul desde março de 2023. Notavelmente, em outubro de 2025, pesquisadores associaram o REF7707 a uma intrusão de cinco meses contra um provedor de serviços de TI russo.
Capacidades e arquitetura do malware
A funcionalidade principal do NANOREMOTE gira em torno do aproveitamento da API do Google Drive para exfiltração de dados e armazenamento de payloads, criando um canal de comunicação discreto e difícil de detectar para atacantes. Seu sistema de gerenciamento de tarefas foi projetado para enfileirar transferências de arquivos, lidar com a pausa e retomada dessas transferências, permitir que os operadores cancelem operações em andamento e gerar tokens de atualização para manter a atividade persistente.
O backdoor em si é construído em C++ e é capaz de realizar um extenso reconhecimento em hosts infectados, executar arquivos e comandos do sistema e mover dados entre ambientes comprometidos e o Google Drive. Ele também mantém comunicação com um endereço IP fixo e não roteável usando tráfego HTTP padrão. Durante essa comunicação, dados JSON são enviados por meio de requisições POST após serem comprimidos com Zlib e criptografados usando AES-CBC com uma chave de 16 bytes (558bec83ec40535657833d7440001c00). Todas as requisições de saída dependem do caminho /api/client e se identificam usando a string User-Agent NanoRemote/1.0.
O malware depende de um conjunto de 22 manipuladores de comandos que, em conjunto, permitem coletar informações do sistema, manipular arquivos e diretórios, executar arquivos executáveis portáteis já presentes no disco, limpar dados em cache, controlar a movimentação de arquivos de e para o Google Drive e encerrar sua própria operação quando instruído.
A cadeia de infecção começa com um carregador conhecido como WMLOADER, embora o método usado para entregar o NANOREMOTE às vítimas permaneça desconhecido. O WMLOADER se disfarça como o componente de tratamento de falhas BDReinit.exe, um arquivo normalmente associado a uma ferramenta legítima de cibersegurança, e é responsável por descriptografar o shellcode que, em última instância, inicia o backdoor.
Abrindo a Porta dos Fundos
Um artefato chamado wmsetup.log, descoberto nas Filipinas em 3 de outubro de 2025, pode ser descriptografado pelo WMLOADER usando a mesma chave de 16 bytes. Esse log revelou um implante do FINALDRAFT, sugerindo uma base de código e um ambiente de desenvolvimento compartilhados entre o FINALDRAFT e o NANOREMOTE.
A hipótese de trabalho é que o WMLOADER usa a mesma chave pré-definida devido à sua integração em um processo de compilação unificado, projetado para lidar com múltiplas cargas úteis.
