NANOREMOTE Backdoor
Cercetătorii în domeniul securității cibernetice au descoperit un backdoor Windows complet funcțional, numit NANOREMOTE, care utilizează API-ul Google Drive pentru operațiunile sale de comandă și control (C2). Acest malware prezintă capacități sofisticate de exfiltrare a datelor și operațiuni la distanță, ceea ce îl face o amenințare semnificativă pentru organizațiile vizate.
Cuprins
Legături către activitățile de amenințare anterioare
NANOREMOTE are asemănări notabile în cod cu un alt implant, cunoscut sub numele de FINALDRAFT (denumit și Squidoor), care utilizează API-ul Microsoft Graph pentru C2. FINALDRAFT este atribuit unui cluster de amenințări denumit REF7707 (cunoscut și sub numele de CL-STA-0049, Earth Alux și Jewelbug).
Se crede că REF7707 este un grup chinez de spionaj cibernetic suspectat care a vizat:
- Agenții guvernamentale
- Organizații de apărare
- Companii de telecomunicații
- Instituții de învățământ
- Sectoarele aviației
Activitatea grupului a fost observată în Asia de Sud-Est și America de Sud din martie 2023. În special, în octombrie 2025, cercetătorii au asociat REF7707 cu o intruziune de cinci luni împotriva unui furnizor de servicii IT rus.
Capacități și arhitectură anti-malware
Funcționalitatea principală a NANOREMOTE se învârte în jurul utilizării API-ului Google Drive atât pentru exfiltrarea datelor, cât și pentru stocarea în timp real a sarcinii utile, creând un canal de comunicare discret și dificil de detectat pentru atacatori. Sistemul său de gestionare a sarcinilor este conceput pentru a pune în coadă transferurile de fișiere, a gestiona întreruperea și reluarea acestor transferuri, a permite operatorilor să anuleze operațiunile în curs și a genera token-uri de reîmprospătare pentru a menține o activitate persistentă.
Backdoor-ul în sine este construit în C++ și este capabil să efectueze recunoașteri extinse asupra gazdelor infectate, să execute fișiere și comenzi de sistem și să mute date între medii compromise și Google Drive. De asemenea, menține comunicarea cu o adresă IP hard-codată, nerutabilă, utilizând trafic HTTP standard. În timpul acestei comunicări, datele JSON sunt trimise prin cereri POST după ce sunt comprimate cu Zlib și criptate folosind AES-CBC cu o cheie de 16 octeți (558bec83ec40535657833d7440001c00). Toate cererile de ieșire se bazează pe calea /api/client și se identifică folosind șirul User-Agent NanoRemote/1.0.
Malware-ul se bazează pe un set de 22 de handlere de comenzi care îi permit, împreună, să colecteze informații despre sistem, să manipuleze fișiere și directoare, să execute fișiere executabile portabile deja prezente pe disc, să șteargă datele din cache, să controleze mișcarea fișierelor către și dinspre Google Drive și să își încheie propria operațiune atunci când i se solicită.
Lanțul de infectare începe cu un încărcător cunoscut sub numele de WMLOADER, deși metoda utilizată pentru a livra NANOREMOTE victimelor rămâne necunoscută. WMLOADER se deghizează în componenta de gestionare a erorilor BDReinit.exe, un fișier asociat de obicei cu un instrument legitim de securitate cibernetică, și este responsabil pentru decriptarea codului shellcode care lansează în cele din urmă backdoor-ul.
Lansarea Backdoor-ului
Un artefact numit wmsetup.log, descoperit în Filipine pe 3 octombrie 2025, poate fi decriptat de WMLOADER folosind aceeași cheie de 16 octeți. Acest jurnal a relevat o implantare FINALDRAFT, sugerând o bază de cod și un mediu de dezvoltare partajate între FINALDRAFT și NANOREMOTE.
Ipoteza de lucru este că WMLOADER folosește aceeași cheie hard-coded datorită integrării sale într-un proces de compilare unificat, conceput pentru a gestiona mai multe sarcini utile.
