NANOREMOTE Backdoor

網路安全研究人員發現了一款名為 NANOREMOTE 的功能齊全的 Windows 後門程序，該程序利用 Google Drive API 進行命令與控制 (C2) 操作。這款惡意軟體具備強大的資料竊取和遠端操作能力，對目標組織構成重大威脅。

與以往威脅活動的鏈接

NANOREMOTE 與另一個名為 FINALDRAFT（也稱為 Squidoor）的植入程式有顯著的程式碼相似性，後者利用 Microsoft Graph API 進行 C2 通訊。 FINALDRAFT 被歸因於一個名為 REF7707 的威脅群聚（也稱為 CL-STA-0049、Earth Alux 和 Jewelbug）。

REF7707據信是一個疑似中國網路間諜組織，其攻擊目標包括：

• 政府機構
• 國防組織
• 電信公司
• 教育機構
• 航空業

自 2023 年 3 月以來，人們在東南亞和南美洲觀察到了該組織的活動。值得注意的是，2025 年 10 月，研究人員將 REF7707 與一起針對俄羅斯 IT 服務提供者的為期五個月的入侵事件聯繫起來。

惡意軟體功能和架構

NANOREMOTE 的核心功能是利用 Google Drive API 進行資料竊取和有效載荷暫存，從而為攻擊者創建一個隱藏且難以檢測的通訊通道。其任務管理系統旨在對檔案傳輸進行排隊，處理傳輸的暫停和恢復，允許操作人員取消正在進行的操作，並產生刷新令牌以維持持續活動。

後門程式本身使用 C++ 編寫，能夠對受感染主機進行廣泛的偵察，執行檔案和系統命令，並在受感染環境和 Google 雲端硬碟之間傳輸資料。它還使用標準的 HTTP 流量與一個硬編碼的、不可路由的 IP 位址保持通訊。在此通訊過程中，JSON 資料經過 Zlib 壓縮，並使用 16 位元組金鑰 (558bec83ec40535657833d7440001c00) 的 AES-CBC 加密後，透過 POST 請求發送。所有出站請求都依賴 /api/client 路徑，並使用 NanoRemote/1.0 User-Agent 字串進行身份驗證。

該惡意軟體依賴一組 22 個命令處理程序，這些處理程序共同使其能夠收集系統資訊、操縱文件和目錄、執行磁碟上已有的可移植可執行檔、清除快取資料、控製文件在 Google 雲端硬碟和雲端硬碟之間的移動，並在收到指令時終止自身的操作。

感染鏈始於一個名為 WMLOADER 的載入器，但將 NANOREMOTE 傳播給受害者的具體方法仍然未知。 WMLOADER 偽裝成崩潰處理元件 BDReinit.exe（通常與合法的網路安全工具相關聯），負責解密最終啟動後門的 shellcode。

啟動後門

2025年10月3日，在菲律賓發現了一個名為wmsetup.log的惡意文件，該文件可使用相同的16位元組金鑰透過WMLOADER進行解密。該日誌揭示了一個FINALDRAFT植入程序，顯示FINALDRAFT和NANOREMOTE之間存在共享的程式碼庫和開發環境。

目前的假設是，WMLOADER 使用相同的硬編碼金鑰，因為它整合在一個旨在處理多個有效載荷的統一建置過程中。