Cửa hậu NANOREMOTE
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phần mềm độc hại Windows đầy đủ tính năng có tên NANOREMOTE, sử dụng API của Google Drive cho các hoạt động điều khiển từ xa (C2). Phần mềm độc hại này thể hiện khả năng tinh vi trong việc đánh cắp dữ liệu và điều khiển từ xa, khiến nó trở thành mối đe dọa đáng kể đối với các tổ chức mục tiêu.
Mục lục
Liên kết đến các hoạt động đe dọa trước đó
NANOREMOTE có những điểm tương đồng đáng chú ý về mã nguồn với một phần mềm độc hại khác, được gọi là FINALDRAFT (còn được biết đến với tên Squidoor), sử dụng API Microsoft Graph cho máy chủ điều khiển (C2). FINALDRAFT được cho là thuộc nhóm mối đe dọa có tên REF7707 (còn được biết đến với tên CL-STA-0049, Earth Alux và Jewelbug).
REF7707 được cho là một nhóm gián điệp mạng Trung Quốc bị nghi ngờ đã nhắm mục tiêu vào:
- Cơ quan chính phủ
- Các tổ chức quốc phòng
- Các công ty viễn thông
- Các cơ sở giáo dục
- Các ngành hàng không
Hoạt động của nhóm này đã được ghi nhận ở Đông Nam Á và Nam Mỹ kể từ tháng 3 năm 2023. Đáng chú ý, vào tháng 10 năm 2025, các nhà nghiên cứu đã liên kết REF7707 với một vụ xâm nhập kéo dài 5 tháng nhằm vào một nhà cung cấp dịch vụ CNTT của Nga.
Khả năng và kiến trúc của phần mềm độc hại
Chức năng cốt lõi của NANOREMOTE xoay quanh việc tận dụng API của Google Drive để đánh cắp dữ liệu và chuẩn bị tải trọng, tạo ra một kênh liên lạc kín đáo và khó phát hiện cho kẻ tấn công. Hệ thống quản lý tác vụ của nó được thiết kế để xếp hàng các hoạt động truyền tệp, xử lý việc tạm dừng và tiếp tục các hoạt động truyền tệp đó, cho phép người vận hành hủy bỏ các hoạt động đang diễn ra và tạo mã thông báo làm mới để duy trì hoạt động liên tục.
Phần mềm độc hại này được xây dựng bằng C++ và có khả năng thực hiện trinh sát sâu rộng trên các máy chủ bị nhiễm, thực thi các tập tin và lệnh hệ thống, cũng như di chuyển dữ liệu giữa các môi trường bị xâm nhập và Google Drive. Nó cũng duy trì liên lạc với một địa chỉ IP cố định, không thể định tuyến được, bằng cách sử dụng lưu lượng HTTP tiêu chuẩn. Trong quá trình liên lạc này, dữ liệu JSON được gửi qua các yêu cầu POST sau khi được nén bằng Zlib và mã hóa bằng AES-CBC với khóa 16 byte (558bec83ec40535657833d7440001c00). Tất cả các yêu cầu gửi đi đều dựa vào đường dẫn /api/client và tự nhận dạng bằng chuỗi User-Agent NanoRemote/1.0.
Phần mềm độc hại này dựa vào một tập hợp 22 trình xử lý lệnh, cho phép nó thu thập thông tin hệ thống, thao tác các tệp và thư mục, thực thi các tệp thực thi di động đã có sẵn trên ổ đĩa, xóa dữ liệu bộ nhớ đệm, kiểm soát việc di chuyển các tệp đến và từ Google Drive, và tự chấm dứt hoạt động của chính nó khi được lệnh.
Chuỗi lây nhiễm bắt đầu với một trình tải có tên WMLOADER, mặc dù phương pháp được sử dụng để đưa NANOREMOTE vào nạn nhân vẫn chưa được biết. WMLOADER giả dạng thành thành phần xử lý sự cố BDReinit.exe, một tệp thường liên quan đến công cụ an ninh mạng hợp pháp, và chịu trách nhiệm giải mã mã shellcode cuối cùng sẽ khởi chạy phần mềm độc hại.
Khởi động Cửa sau
Một hiện vật có tên wmsetup.log, được phát hiện ở Philippines vào ngày 3 tháng 10 năm 2025, có thể được giải mã bởi WMLOADER bằng cùng một khóa 16 byte. Nhật ký này tiết lộ một phần mềm độc hại FINALDRAFT, cho thấy có sự chia sẻ mã nguồn và môi trường phát triển giữa FINALDRAFT và NANOREMOTE.
Giả thuyết đặt ra là WMLOADER sử dụng cùng một khóa được mã hóa cứng do được tích hợp vào quy trình xây dựng thống nhất được thiết kế để xử lý nhiều tải trọng khác nhau.
