Investigadores de ciberseguridad han revelado detalles de una nueva puerta trasera de Windows con todas las funciones llamamiento NANO REMOTO que utiliza la API de Google Drive para fines de comando y control (C2).
Según un crónica de Elastic Security Labs, el malware comparte similitudes de código con otro implante con nombre en código FINALDRAFT (todavía conocido como Squidoor) que emplea Microsoft Graph API para C2. FINALDRAFT se atribuye a un camarilla de amenazas conocido como REF7707 (todavía conocido como CL-STA-0049, Earth Alux y Jewelbug).
“Una de las características principales del malware se centra en el emisión de datos de ida y revés desde el punto final de la víctima utilizando la API de Google Drive”, dijo Daniel Stepanic, investigador principal de seguridad de Elastic Security Labs.
“Esta característica termina proporcionando un canal para el robo de datos y la preparación de carga útil que es difícil de detectar. El malware incluye un sistema de filial de tareas utilizado para capacidades de transferencia de archivos que incluyen poner en posaderas tareas de descarga/carga, pausar/reanudar transferencias de archivos, revocar transferencias de archivos y crear tokens de modernización”.
Se cree que REF7707 es un camarilla de actividad chino sospechoso que se ha dirigido a los sectores de gobiernos, defensa, telecomunicaciones, educación y aviación en el sudeste oriental y América del Sur desde marzo de 2023, según la Mecanismo 42 de Palo Suspensión Networks. En octubre de 2025, Symantec, propiedad de Broadcom, atribuyó el camarilla de hackers a una intrusión de cinco meses de duración dirigida a un proveedor de servicios de TI ruso.
Actualmente se desconoce el vector de paso original exacto utilizado para entregar NANOREMOTE. Sin bloqueo, la condena de ataque observada incluye un cargador llamado WMLOADER que imita el componente de manejo de fallas de Bitdefender (“BDReinit.exe”) y descifra el código shell responsable de iniciar la puerta trasera.
Escrito en C++, NANOREMOTE está equipado para realizar reconocimientos, ejecutar archivos y comandos, y transferir archivos en dirección a y desde entornos de víctimas utilizando la API de Google Drive. Todavía está preconfigurado para comunicarse con una dirección IP codificada y no enrutable a través de HTTP para procesar las solicitudes enviadas por el cirujano y expedir la respuesta.
“Estas solicitudes se producen a través de HTTP, donde los datos JSON se envían a través de solicitudes POST que están comprimidas en Zlib y cifradas con AES-CBC usando una esencia de 16 bytes (558bec83ec40535657833d7440001c00)”, dijo Elastic. “El URI para todas las solicitudes utiliza /api/client con User-Agent (NanoRemote/1.0)”.
Su funcionalidad principal se realiza a través de un conjunto de 22 controladores de comandos que le permiten compendiar información del host, realizar operaciones de archivos y directorios, ejecutar archivos ejecutables portátiles (PE) ya presentes en el disco, borrar elegancia, descargar/cargar archivos en Google Drive, pausar/reanudar/revocar transferencias de datos y finalizarse.
Elastic dijo que identificó un artefacto (“wmsetup.log”) subido a VirusTotal desde Filipinas el 3 de octubre de 2025, que WMLOADER puede descifrar con la misma esencia de 16 bytes para revelar un implante FINALDRAFT, lo que indica que las dos familias de malware probablemente sean obra del mismo actor de amenazas. No está claro por qué se utiliza la misma esencia codificada en entreambos.
“Nuestra hipótesis es que WMLOADER utiliza la misma esencia codificada oportuno a que es parte del mismo proceso de construcción/crecimiento que le permite trabajar con varias cargas efectos”, dijo Stepanic. “Esta parece ser otra resistente señal que sugiere una cojín de código y un entorno de crecimiento compartidos entre FINALDRAFT y NANOREMOTE”.
