NANOREMOTE Backdoor
Исследователи в области кибербезопасности обнаружили полнофункциональный бэкдор для Windows под названием NANOREMOTE, который использует API Google Drive для своих операций управления и контроля (C2). Это вредоносное ПО демонстрирует сложные возможности для утечки данных и удаленного управления, что делает его серьезной угрозой для целевых организаций.
Оглавление
Ссылки на предыдущие сообщения об угрозах
NANOREMOTE имеет заметные сходства в коде с другим имплантом, известным как FINALDRAFT (также называемым Squidoor), который использует API Microsoft Graph для управления и контроля. FINALDRAFT относится к кластеру угроз, обозначенному как REF7707 (также известному как CL-STA-0049, Earth Alux и Jewelbug).
Предполагается, что REF7707 — это китайская группа кибершпионажа, которая преследовала следующие цели:
- правительственные учреждения
- оборонные организации
- телекоммуникационные компании
- Образовательные учреждения
- авиационный сектор
Активность группы наблюдалась в Юго-Восточной Азии и Южной Америке с марта 2023 года. В частности, в октябре 2025 года исследователи связали REF7707 с пятимесячным вторжением в российскую IT-компанию.
Возможности и архитектура вредоносного ПО
Основная функциональность NANOREMOTE основана на использовании API Google Drive как для утечки данных, так и для подготовки полезной нагрузки, создавая незаметный и труднообнаружимый канал связи для злоумышленников. Система управления задачами предназначена для постановки файлов в очередь на передачу, обработки приостановки и возобновления этих передач, предоставления операторам возможности отменять текущие операции и генерации токенов обновления для поддержания постоянной активности.
Сам бэкдор написан на C++ и способен проводить обширную разведку зараженных хостов, выполнять файлы и системные команды, а также перемещать данные между скомпрометированными средами и Google Drive. Он также поддерживает связь с жестко закодированным, немаршрутизируемым IP-адресом, используя стандартный HTTP-трафик. Во время этой связи данные в формате JSON отправляются через POST-запросы после сжатия с помощью Zlib и шифрования с использованием AES-CBC с 16-байтовым ключом (558bec83ec40535657833d7440001c00). Все исходящие запросы используют путь /api/client и идентифицируют себя с помощью строки User-Agent NanoRemote/1.0.
Вредоносная программа использует набор из 22 обработчиков команд, которые в совокупности позволяют ей собирать системную информацию, манипулировать файлами и каталогами, запускать уже имеющиеся на диске портативные исполняемые файлы, очищать кэшированные данные, контролировать перемещение файлов в Google Drive и из него, а также завершать свою работу по указанию.
Цепочка заражения начинается с загрузчика, известного как WMLOADER, хотя метод доставки NANOREMOTE жертвам остается неизвестным. WMLOADER маскируется под компонент обработки сбоев BDReinit.exe, файл, обычно связанный с легитимным инструментом кибербезопасности, и отвечает за расшифровку шелл-кода, который в конечном итоге запускает бэкдор.
Запуск «Задней двери»
Обнаруженный на Филиппинах 3 октября 2025 года артефакт под названием wmsetup.log может быть расшифрован программой WMLOADER с использованием того же 16-байтового ключа. Этот лог выявил наличие импланта FINALDRAFT, что указывает на общую кодовую базу и среду разработки между FINALDRAFT и NANOREMOTE.
Рабочая гипотеза заключается в том, что WMLOADER использует один и тот же жестко закодированный ключ из-за его интеграции в единый процесс сборки, предназначенный для обработки нескольких полезных нагрузок.
