NANOREMOTE Backdoor
Studiuesit e sigurisë kibernetike kanë zbuluar një derë të pasme të Windows me funksione të plota të quajtur NANOREMOTE, e cila shfrytëzon API-në e Google Drive për operacionet e saj Command-and-Control (C2). Ky malware shfaq aftësi të sofistikuara për nxjerrjen e të dhënave dhe operacionet në distancë, duke e bërë atë një kërcënim të rëndësishëm për organizatat e synuara.
Tabela e Përmbajtjes
Lidhje me aktivitetin e mëparshëm të kërcënimit
NANOREMOTE ndan ngjashmëri të dukshme në kod me një implant tjetër, të njohur si FINALDRAFT (i referuar edhe si Squidoor), i cili përdor Microsoft Graph API për C2. FINALDRAFT i atribuohet një klasteri kërcënimesh të përcaktuar si REF7707 (i njohur edhe si CL-STA-0049, Earth Alux dhe Jewelbug).
REF7707 besohet të jetë një grup i dyshuar kinez i spiunazhit kibernetik që ka synuar:
- Agjencitë qeveritare
- Organizatat e mbrojtjes
- Kompanitë e telekomunikacionit
- Institucionet arsimore
- Sektorët e aviacionit
Aktiviteti i grupit është vërejtur në Azinë Juglindore dhe Amerikën e Jugut që nga marsi i vitit 2023. Veçanërisht, në tetor 2025, studiuesit e lidhën REF7707 me një ndërhyrje pesë-mujore kundër një ofruesi rus të shërbimeve të IT-së.
Aftësitë dhe Arkitektura e Malware-it
Funksionaliteti kryesor i NANOREMOTE sillet rreth shfrytëzimit të API-t të Google Drive si për nxjerrjen e të dhënave ashtu edhe për përcaktimin e ngarkesës së përdoruesit, duke krijuar një kanal komunikimi diskret dhe të vështirë për t'u zbuluar për sulmuesit. Sistemi i tij i menaxhimit të detyrave është projektuar për të vendosur në radhë transferimet e skedarëve, për të trajtuar ndalimin dhe rifillimin e këtyre transferimeve, për t'u lejuar operatorëve të anulojnë operacionet në vazhdim dhe për të gjeneruar tokena rifreskimi për të ruajtur aktivitetin e vazhdueshëm.
Vetë dera e pasme është ndërtuar në C++ dhe është e aftë të kryejë zbulim të gjerë në hostet e infektuara, të ekzekutojë skedarë dhe komanda të sistemit, si dhe të lëvizë të dhëna midis mjediseve të kompromentuara dhe Google Drive. Gjithashtu, ajo mban komunikim me një adresë IP të koduar fort dhe jo të rutueshme duke përdorur trafikun standard HTTP. Gjatë këtij komunikimi, të dhënat JSON dërgohen përmes kërkesave POST pasi kompresohen me Zlib dhe enkriptohen duke përdorur AES‑CBC me një çelës 16 bajtësh (558bec83ec40535657833d7440001c00). Të gjitha kërkesat dalëse mbështeten në shtegun /api/client dhe identifikohen duke përdorur vargun NanoRemote/1.0 User-Agent.
Malware mbështetet në një grup prej 22 trajtuesish komandash që së bashku i mundësojnë atij të mbledhë informacione të sistemit, të manipulojë skedarë dhe drejtori, të ekzekutojë skedarë ekzekutues portativë që tashmë janë të pranishëm në disk, të pastrojë të dhënat e ruajtura në memorje, të kontrollojë lëvizjen e skedarëve nga dhe drejt Google Drive dhe të ndërpresë operacionin e vet kur merr udhëzime.
Zinxhiri i infeksionit fillon me një ngarkues të njohur si WMLOADER, megjithëse metoda e përdorur për të dërguar NANOREMOTE te viktimat mbetet e panjohur. WMLOADER maskohet si komponenti i trajtimit të aksidenteve BDReinit.exe, një skedar që zakonisht shoqërohet me një mjet legjitim të sigurisë kibernetike, dhe është përgjegjës për dekriptimin e shellcode që në fund të fundit hap derën e pasme.
Duke lançuar “The Backdoor”
Një artefakt i quajtur wmsetup.log, i zbuluar në Filipine më 3 tetor 2025, mund të deshifrohet nga WMLOADER duke përdorur të njëjtin çelës 16-bajtësh. Ky regjistër zbuloi një implant FINALDRAFT, duke sugjeruar një bazë kodi dhe mjedis zhvillimi të përbashkët midis FINALDRAFT dhe NANOREMOTE.
Hipoteza e punës është se WMLOADER përdor të njëjtin çelës të koduar për shkak të integrimit të tij në një proces të unifikuar ndërtimi të projektuar për të trajtuar ngarkesa të shumëfishta.
