Investigadores de ciberseguridad han revelado detalles de una nueva puerta trasera de Windows con todas las funciones llamada NANOREMOTE que utiliza la API de Google Drive con fines de comando y control (C2).
Según un informe de Elastic Security Labs, el malware comparte similitudes de código con otro implante con nombre en código FINALDRAFT (también conocido como Squidoor) que utiliza la API Microsoft Graph para C2. Se cree que FINALDRAFT se origina en el grupo de amenazas conocido como REF7707 (también conocido como CL-STA-0049, Earth Alux y Jewelbug).
«Una de las características principales de este malware se centra en el uso de la API de Google Drive para intercambiar datos desde el punto final de la víctima», dijo Daniel Stepanich, investigador principal de seguridad de Elastic Security Labs.
«Esta funcionalidad, en última instancia, proporciona un canal para el robo de datos difíciles de detectar y la preparación de cargas útiles. El malware incluye un sistema de gestión de tareas utilizado para funciones de transferencia de archivos, como poner en cola tareas de descarga/carga, pausar/reanudar transferencias de archivos, cancelar transferencias de archivos y generar tokens de actualización».
Según la División 42 de Palo Alto Networks, se cree que REF7707 es parte de un grupo de actividades chinas sospechosas dirigidas a los sectores gubernamental, de defensa, de comunicaciones, de educación y de aviación en el sudeste asiático y América del Sur que se remontan a marzo de 2023. En octubre de 2025, Symantec, una empresa de Broadcom, atribuyó a este grupo de piratas informáticos una intrusión de cinco meses dirigida a proveedores de servicios de TI rusos.
Actualmente se desconoce el vector de acceso inicial exacto utilizado para entregar NANOREMOTE. Sin embargo, la cadena de ataque observada incluye un cargador llamado WMLOADER que imita el componente de manejo de fallas de Bitdefender (‘BDReinit.exe’) y descifra el código shell responsable de iniciar la puerta trasera.
Escrito en C++, NANOREMOTE utiliza la API de Google Drive para realizar reconocimientos, ejecutar archivos y comandos, y tiene la capacidad de transferir archivos hacia y desde el entorno de la víctima. También está preconfigurado para comunicarse a través de HTTP con una dirección IP codificada y no enrutable, procesar solicitudes enviadas por operadores y enviar respuestas.
«Estas solicitudes se producen a través de HTTP, y los datos JSON se comprimen con Zlib y se envían a través de una solicitud POST cifrada con AES-CBC usando una clave de 16 bytes (558bec83ec40535657833d7440001c00)», dijo Elastic. «El URI para todas las solicitudes utiliza /api/client con User-Agent (NanoRemote/1.0)».
Su funcionalidad principal se logra a través de un conjunto de 22 controladores de comandos que le permiten recopilar información del host, realizar operaciones de archivos y directorios, ejecutar archivos ejecutables portátiles (PE) ya presentes en el disco, borrar el caché, descargar/cargar archivos en Google Drive, pausar/reanudar/cancelar transferencias de datos y finalizarse.
Elastic anunció que identificó un artefacto (“wmsetup.log”) que se subió a VirusTotal desde Filipinas el 3 de octubre de 2025. WMLOADER puede descifrar este artefacto usando la misma clave de 16 bytes para revelar el implante FINALDRAFT, lo que indica que las dos familias de malware probablemente sean obra del mismo actor de amenazas. No estoy seguro de por qué se utilizan las mismas claves codificadas en ambos.
«Nuestra hipótesis es que WMLOADER es parte del mismo proceso de construcción/desarrollo que le permite trabajar con diferentes cargas útiles, por lo que utiliza las mismas claves codificadas», dijo Stepanic. «Esta parece ser otra señal fuerte de que FINALDRAFT y NANOREMOTE están compartiendo una base de código y un entorno de desarrollo».
Source link
