NANOREMOTE Backdoor

网络安全研究人员发现了一款名为 NANOREMOTE 的功能齐全的 Windows 后门程序，该程序利用 Google Drive API 进行命令与控制 (C2) 操作。这款恶意软件具备强大的数据窃取和远程操作能力，对目标组织构成重大威胁。

与以往威胁活动的链接

NANOREMOTE 与另一个名为 FINALDRAFT（也称为 Squidoor）的植入程序有显著的代码相似性，后者利用 Microsoft Graph API 进行 C2 通信。FINALDRAFT 被归因于一个名为 REF7707 的威胁集群（也称为 CL-STA-0049、Earth Alux 和 Jewelbug）。

REF7707据信是一个疑似中国网络间谍组织，其攻击目标包括：

• 政府机构
• 国防组织
• 电信公司
• 教育机构
• 航空业

自 2023 年 3 月以来，人们在东南亚和南美洲观察到了该组织的活动。值得注意的是，2025 年 10 月，研究人员将 REF7707 与一起针对俄罗斯 IT 服务提供商的为期五个月的入侵事件联系起来。

恶意软件功能和架构

NANOREMOTE 的核心功能是利用 Google Drive API 进行数据窃取和有效载荷暂存，从而为攻击者创建一个隐蔽且难以检测的通信通道。其任务管理系统旨在对文件传输进行排队，处理传输的暂停和恢复，允许操作人员取消正在进行的操作，并生成刷新令牌以维持持续活动。

该后门程序本身使用 C++ 编写，能够对受感染主机进行广泛的侦察，执行文件和系统命令，并在受感染环境和 Google 云端硬盘之间传输数据。它还使用标准的 HTTP 流量与一个硬编码的、不可路由的 IP 地址保持通信。在此通信过程中，JSON 数据经过 Zlib 压缩，并使用 16 字节密钥 (558bec83ec40535657833d7440001c00) 的 AES-CBC 加密后，通过 POST 请求发送。所有出站请求都依赖于 /api/client 路径，并使用 NanoRemote/1.0 User-Agent 字符串进行身份验证。

该恶意软件依赖于一组 22 个命令处理程序，这些处理程序共同使其能够收集系统信息、操纵文件和目录、执行磁盘上已有的可移植可执行文件、清除缓存数据、控制文件在 Google 云端硬盘和云端硬盘之间的移动，并在收到指令时终止自身的操作。

感染链始于一个名为 WMLOADER 的加载器，但将 NANOREMOTE 传播给受害者的具体方法仍然未知。WMLOADER 伪装成崩溃处理组件 BDReinit.exe（通常与合法的网络安全工具相关联），负责解密最终启动后门的 shellcode。

启动后门

2025年10月3日，在菲律宾发现了一个名为wmsetup.log的恶意文件，该文件可使用相同的16字节密钥通过WMLOADER进行解密。该日志揭示了一个FINALDRAFT植入程序，表明FINALDRAFT和NANOREMOTE之间存在共享的代码库和开发环境。

目前的假设是，WMLOADER 使用相同的硬编码密钥，因为它集成在一个旨在处理多个有效载荷的统一构建过程中。