నానోరెమోట్ బ్యాక్‌డోర్

సైబర్‌ సెక్యూరిటీ పరిశోధకులు NANOREMOTE అనే పూర్తిగా ఫీచర్ చేయబడిన విండోస్ బ్యాక్‌డోర్‌ను కనుగొన్నారు, ఇది దాని కమాండ్-అండ్-కంట్రోల్ (C2) కార్యకలాపాల కోసం Google Drive APIని ఉపయోగిస్తుంది. ఈ మాల్వేర్ డేటా ఎక్స్‌ఫిల్ట్రేషన్ మరియు రిమోట్ ఆపరేషన్‌ల కోసం అధునాతన సామర్థ్యాలను ప్రదర్శిస్తుంది, ఇది లక్ష్య సంస్థలకు గణనీయమైన ముప్పుగా మారుతుంది.

మునుపటి బెదిరింపు కార్యాచరణకు లింక్‌లు

NANOREMOTE మరొక ఇంప్లాంట్‌తో గుర్తించదగిన కోడ్ సారూప్యతలను పంచుకుంటుంది, దీనిని FINALDRAFT (స్క్విడోర్ అని కూడా పిలుస్తారు), ఇది C2 కోసం మైక్రోసాఫ్ట్ గ్రాఫ్ APIని ఉపయోగిస్తుంది. FINALDRAFT అనేది REF7707 (CL-STA-0049, ఎర్త్ అలక్స్ మరియు జ్యువెల్‌బగ్ అని కూడా పిలుస్తారు) నియమించబడిన ముప్పు క్లస్టర్‌కు ఆపాదించబడింది.

REF7707 అనేది అనుమానిత చైనీస్ సైబర్ గూఢచర్య సమూహం అని నమ్ముతారు, ఇది వీటిని లక్ష్యంగా చేసుకుంది:

• ప్రభుత్వ సంస్థలు
• రక్షణ సంస్థలు
• టెలికమ్యూనికేషన్ కంపెనీలు
• విద్యా సంస్థలు
• విమానయాన రంగాలు

మార్చి 2023 నుండి ఆగ్నేయాసియా మరియు దక్షిణ అమెరికాలో ఈ బృందం కార్యకలాపాలు గమనించబడ్డాయి. ముఖ్యంగా, అక్టోబర్ 2025లో, పరిశోధకులు REF7707ను రష్యన్ IT సర్వీస్ ప్రొవైడర్‌పై ఐదు నెలల చొరబాటుకు అనుసంధానించారు.

మాల్వేర్ సామర్థ్యాలు మరియు నిర్మాణం

NANOREMOTE యొక్క ప్రధాన కార్యాచరణ డేటా ఎక్స్‌ఫిల్ట్రేషన్ మరియు పేలోడ్ స్టేజింగ్ రెండింటికీ Google Drive APIని ఉపయోగించడం చుట్టూ తిరుగుతుంది, దాడి చేసేవారికి వివేకవంతమైన మరియు గుర్తించడం కష్టతరమైన కమ్యూనికేషన్ ఛానెల్‌ను సృష్టిస్తుంది. దీని టాస్క్ మేనేజ్‌మెంట్ సిస్టమ్ ఫైల్ బదిలీలను క్యూలో ఉంచడానికి, ఆ బదిలీలను పాజ్ చేయడానికి మరియు పునఃప్రారంభించడానికి, ఆపరేటర్లు కొనసాగుతున్న కార్యకలాపాలను రద్దు చేయడానికి మరియు నిరంతర కార్యాచరణను నిర్వహించడానికి రిఫ్రెష్ టోకెన్‌లను రూపొందించడానికి రూపొందించబడింది.

బ్యాక్‌డోర్ కూడా C++లో నిర్మించబడింది మరియు ఇన్‌ఫెక్ట్ చేయబడిన హోస్ట్‌లపై విస్తృతమైన నిఘాను నిర్వహించగలదు, ఫైల్‌లు మరియు సిస్టమ్ ఆదేశాలను అమలు చేయగలదు మరియు రాజీపడిన వాతావరణాలు మరియు Google డ్రైవ్ మధ్య డేటాను తరలించగలదు. ఇది ప్రామాణిక HTTP ట్రాఫిక్‌ను ఉపయోగించి హార్డ్-కోడెడ్, రూటబుల్ కాని IP చిరునామాతో కమ్యూనికేషన్‌ను కూడా నిర్వహిస్తుంది. ఈ కమ్యూనికేషన్ సమయంలో, Zlibతో కంప్రెస్ చేయబడిన తర్వాత మరియు 16-బైట్ కీ (558bec83ec40535657833d7440001c00)తో AES-CBCని ఉపయోగించి ఎన్‌క్రిప్ట్ చేయబడిన తర్వాత JSON డేటా POST అభ్యర్థనల ద్వారా పంపబడుతుంది. అన్ని అవుట్‌బౌండ్ అభ్యర్థనలు /api/క్లయింట్ మార్గంపై ఆధారపడి ఉంటాయి మరియు నానోరిమోట్/1.0 యూజర్-ఏజెంట్ స్ట్రింగ్‌ని ఉపయోగించి తమను తాము గుర్తించుకుంటాయి.

ఈ మాల్వేర్ 22 కమాండ్ హ్యాండ్లర్ల సమితిపై ఆధారపడుతుంది, ఇవి సమిష్టిగా సిస్టమ్ సమాచారాన్ని సేకరించడానికి, ఫైల్‌లు మరియు డైరెక్టరీలను మార్చడానికి, డిస్క్‌లో ఇప్పటికే ఉన్న పోర్టబుల్ ఎక్జిక్యూటబుల్ ఫైల్‌లను అమలు చేయడానికి, కాష్ చేసిన డేటాను క్లియర్ చేయడానికి, Google డ్రైవ్‌కు మరియు నుండి ఫైల్‌ల కదలికను నియంత్రించడానికి మరియు సూచించినప్పుడు దాని స్వంత ఆపరేషన్‌ను ముగించడానికి వీలు కల్పిస్తాయి.

ఈ ఇన్ఫెక్షన్ గొలుసు WMLOADER అని పిలువబడే లోడర్‌తో ప్రారంభమవుతుంది, అయినప్పటికీ NANOREMOTEని బాధితులకు అందించడానికి ఉపయోగించే పద్ధతి తెలియదు. WMLOADER క్రాష్-హ్యాండ్లింగ్ కాంపోనెంట్ BDReinit.exe వలె మారువేషంలో ఉంటుంది, ఇది సాధారణంగా చట్టబద్ధమైన సైబర్ భద్రతా సాధనంతో అనుబంధించబడిన ఫైల్ మరియు చివరికి బ్యాక్‌డోర్‌ను ప్రారంభించే షెల్‌కోడ్‌ను డీక్రిప్ట్ చేయడానికి బాధ్యత వహిస్తుంది.

బ్యాక్‌డోర్‌ను ప్రారంభించడం

అక్టోబర్ 3, 2025న ఫిలిప్పీన్స్‌లో కనుగొనబడిన wmsetup.log అనే కళాఖండాన్ని WMLOADER అదే 16-బైట్ కీని ఉపయోగించి డీక్రిప్ట్ చేయవచ్చు. ఈ లాగ్ FINALDRAFT ఇంప్లాంట్‌ను వెల్లడించింది, ఇది FINALDRAFT మరియు NANOREMOTE మధ్య భాగస్వామ్య కోడ్‌బేస్ మరియు అభివృద్ధి వాతావరణాన్ని సూచిస్తుంది.

బహుళ పేలోడ్‌లను నిర్వహించడానికి రూపొందించబడిన ఏకీకృత నిర్మాణ ప్రక్రియలో దాని ఏకీకరణ కారణంగా WMLOADER అదే హార్డ్-కోడెడ్ కీని ఉపయోగిస్తుందనేది పనిచేసే పరికల్పన.