NANOREMOTE Backdoor

Natuklasan ng mga mananaliksik sa cybersecurity ang isang ganap na tampok na Windows backdoor na nagngangalang NANOREMOTE, na gumagamit ng Google Drive API para sa mga operasyon nito sa Command-and-Control (C2). Ang malware na ito ay nagpapakita ng mga sopistikadong kakayahan para sa pag-exfilt ng data at mga remote na operasyon, na ginagawa itong isang malaking banta sa mga target na organisasyon.

Mga Link sa Nakaraang Aktibidad ng Banta

Ang NANOREMOTE ay may kapansin-pansing pagkakatulad ng code sa isa pang implant, na kilala bilang FINALDRAFT (tinutukoy din bilang Squidoor), na gumagamit ng Microsoft Graph API para sa C2. Ang FINALDRAFT ay iniuugnay sa isang threat cluster na itinalagang REF7707 (kilala rin bilang CL-STA-0049, Earth Alux, at Jewelbug).

Ang REF7707 ay pinaniniwalaang isang pinaghihinalaang grupo ng cyber espionage ng Tsina na tumatarget sa:

• Mga ahensya ng gobyerno
• Mga organisasyong pangdepensa
• Mga kompanya ng telekomunikasyon
• Mga institusyong pang-edukasyon
• Mga sektor ng abyasyon

Ang aktibidad ng grupo ay naobserbahan sa Timog-silangang Asya at Timog Amerika simula noong Marso 2023. Kapansin-pansin, noong Oktubre 2025, iniugnay ng mga mananaliksik ang REF7707 sa limang buwang panghihimasok laban sa isang tagapagbigay ng serbisyo ng IT sa Russia.

Mga Kakayahan at Arkitektura ng Malware

Ang pangunahing tungkulin ng NANOREMOTE ay umiikot sa paggamit ng Google Drive API para sa parehong data exfiltration at payload staging, na lumilikha ng isang maingat at mahirap matukoy na channel ng komunikasyon para sa mga umaatake. Ang sistema ng pamamahala ng gawain nito ay idinisenyo upang i-queue ang mga paglilipat ng file, pangasiwaan ang pag-pause at pagpapatuloy ng mga paglilipat na iyon, payagan ang mga operator na kanselahin ang mga patuloy na operasyon, at bumuo ng mga refresh token upang mapanatili ang patuloy na aktibidad.

Ang backdoor mismo ay binuo sa C++ at may kakayahang magsagawa ng malawakang pagmamanman sa mga nahawaang host, magsagawa ng mga file at mga utos ng system, at maglipat ng data sa pagitan ng mga nakompromisong kapaligiran at Google Drive. Pinapanatili rin nito ang komunikasyon sa isang hard-coded, hindi mai-ruta na IP address gamit ang karaniwang HTTP traffic. Sa panahon ng komunikasyong ito, ang JSON data ay ipinapadala sa pamamagitan ng mga POST request pagkatapos ma-compress gamit ang Zlib at ma-encrypt gamit ang AES-CBC na may 16-byte key (558bec83ec40535657833d7440001c00). Ang lahat ng outbound request ay umaasa sa /api/client path at kinikilala ang kanilang mga sarili gamit ang NanoRemote/1.0 User-Agent string.

Ang malware ay umaasa sa isang set ng 22 command handler na sama-samang nagbibigay-daan dito upang mangalap ng impormasyon ng system, manipulahin ang mga file at directory, isagawa ang mga portable executable file na nasa disk na, linisin ang naka-cache na data, kontrolin ang paggalaw ng mga file papunta at mula sa Google Drive, at wakasan ang sarili nitong operasyon kapag inutusan.

Ang kadena ng impeksyon ay nagsisimula sa isang loader na kilala bilang WMLOADER, bagama't ang paraan na ginamit upang maihatid ang NANOREMOTE sa mga biktima ay nananatiling hindi alam. Ang WMLOADER ay nagkukunwaring bahagi ng pag-crash na BDReinit.exe, isang file na karaniwang nauugnay sa isang lehitimong tool sa cybersecurity, at responsable sa pag-decrypt ng shellcode na sa huli ay naglulunsad ng backdoor.

Paglulunsad ng Backdoor

Isang artifact na nagngangalang wmsetup.log, na natuklasan sa Pilipinas noong Oktubre 3, 2025, ay maaaring i-decrypt ng WMLOADER gamit ang parehong 16-byte na key. Ang log na ito ay nagsiwalat ng isang FINALDRAFT implant, na nagmumungkahi ng isang shared codebase at development environment sa pagitan ng FINALDRAFT at NANOREMOTE.

Ang gumaganang teorya ay ginagamit ng WMLOADER ang parehong hard-coded key dahil sa integrasyon nito sa isang pinag-isang proseso ng pagbuo na idinisenyo upang pangasiwaan ang maraming payload.