Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuwe, volledig uitgeruste Windows-backdoor genaamd NANOREMOTE die de Google Drive API gebruikt voor command-and-control (C2) doeleinden.
Volgens een rapport van Elastic Security Labs deelt de malware code-overeenkomsten met een ander implantaat met de codenaam FINALDRAFT (ook bekend als Squidoor) dat gebruikmaakt van Microsoft Graph API voor C2. FINALDRAFT wordt toegeschreven aan een bedreigingscluster dat bekend staat als REF7707 (ook bekend als CL-STA-0049, Earth Alux en Jewelbug).
“Een van de belangrijkste kenmerken van de malware is het heen en weer verzenden van gegevens vanaf het eindpunt van het slachtoffer met behulp van de Google Drive API”, zegt Daniel Stepanic, hoofdbeveiligingsonderzoeker bij Elastic Security Labs.
“Deze functie biedt uiteindelijk een kanaal voor gegevensdiefstal en het opvoeren van payloads die moeilijk te detecteren zijn. De malware omvat een taakbeheersysteem dat wordt gebruikt voor bestandsoverdrachtsmogelijkheden, waaronder het in de wachtrij plaatsen van download-/uploadtaken, het pauzeren/hervatten van bestandsoverdrachten, het annuleren van bestandsoverdrachten en het genereren van vernieuwingstokens.”
Er wordt aangenomen dat REF7707 een vermoedelijk Chinees activiteitencluster is dat zich al in maart 2023 heeft gericht op overheden, defensie, telecommunicatie, onderwijs en luchtvaartsectoren in Zuidoost-Azië en Zuid-Amerika, volgens Palo Alto Networks Unit 42. In oktober 2025 schreef Symantec, eigendom van Broadcom, de hackgroep toe aan een vijf maanden durende inbraak gericht op een Russische IT-serviceprovider.
De exacte initiële toegangsvector die wordt gebruikt om NANOREMOTE te leveren, is momenteel niet bekend. De waargenomen aanvalsketen omvat echter een lader met de naam WMLOADER die de crashverwerkingscomponent van Bitdefender nabootst (“BDReinit.exe”) en de shellcode decodeert die verantwoordelijk is voor het starten van de achterdeur.
NANOREMOTE is geschreven in C++ en is uitgerust om verkenningen uit te voeren, bestanden en opdrachten uit te voeren en bestanden over te dragen van en naar slachtofferomgevingen met behulp van de Google Drive API. Het is ook vooraf geconfigureerd om via HTTP te communiceren met een hardgecodeerd, niet-routeerbaar IP-adres om verzoeken van de operator te verwerken en het antwoord terug te sturen.
“Deze verzoeken vinden plaats via HTTP, waarbij de JSON-gegevens worden ingediend via POST-verzoeken die Zlib zijn gecomprimeerd en gecodeerd met AES-CBC met behulp van een sleutel van 16 bytes (558bec83ec40535657833d7440001c00)”, aldus Elastic. “De URI voor alle verzoeken gebruikt /api/client met User-Agent (NanoRemote/1.0).”
De primaire functionaliteit wordt gerealiseerd door een set van 22 opdrachthandlers waarmee het hostinformatie kan verzamelen, bestands- en mapbewerkingen kan uitvoeren, draagbare uitvoerbare bestanden (PE) kan uitvoeren die al op de schijf aanwezig zijn, de cache kan wissen, bestanden kan downloaden/uploaden naar Google Drive, gegevensoverdrachten kan pauzeren/hervatten/annuleren, en zichzelf kan beëindigen.
Elastic zei dat het een artefact (“wmsetup.log”) heeft geïdentificeerd dat op 3 oktober 2025 vanuit de Filippijnen naar VirusTotal is geüpload en dat door WMLOADER kan worden gedecodeerd met dezelfde sleutel van 16 bytes om een FINALDRAFT-implantaat te onthullen, wat aangeeft dat de twee malwarefamilies waarschijnlijk het werk zijn van dezelfde bedreigingsacteur. Het is onduidelijk waarom voor beide dezelfde hardgecodeerde sleutel wordt gebruikt.
“Onze hypothese is dat WMLOADER dezelfde hardgecodeerde sleutel gebruikt omdat het deel uitmaakt van hetzelfde bouw-/ontwikkelingsproces waardoor het met verschillende payloads kan werken”, aldus Stepanic. “Dit lijkt opnieuw een sterk signaal te zijn dat duidt op een gedeelde codebase en ontwikkelomgeving tussen FINALDRAFT en NANOREMOTE.”
