NANOREMOTE-Hintertür
Cybersicherheitsforscher haben eine voll funktionsfähige Windows-Hintertür namens NANOREMOTE entdeckt, die die Google Drive API für ihre Command-and-Control-Operationen (C2) nutzt. Diese Schadsoftware verfügt über ausgefeilte Fähigkeiten zur Datenexfiltration und Fernsteuerung und stellt daher eine erhebliche Bedrohung für betroffene Organisationen dar.
Inhaltsverzeichnis
Links zu früheren Bedrohungsaktivitäten
NANOREMOTE weist bemerkenswerte Codeähnlichkeiten mit einem anderen Implantat auf, bekannt als FINALDRAFT (auch Squidoor genannt), das die Microsoft Graph API für C2 nutzt. FINALDRAFT wird einem Bedrohungscluster mit der Bezeichnung REF7707 zugeordnet (auch bekannt als CL-STA-0049, Earth Alux und Jewelbug).
Bei REF7707 handelt es sich vermutlich um eine chinesische Cyberspionagegruppe, die folgende Ziele verfolgt:
- Regierungsbehörden
- Verteidigungsorganisationen
- Telekommunikationsunternehmen
- Bildungseinrichtungen
- Luftfahrtsektor
Die Aktivitäten der Gruppe wurden seit März 2023 in Südostasien und Südamerika beobachtet. Insbesondere im Oktober 2025 brachten Forscher REF7707 mit einem fünfmonatigen Einbruch bei einem russischen IT-Dienstleister in Verbindung.
Malware-Fähigkeiten und -Architektur
Die Kernfunktionalität von NANOREMOTE basiert auf der Nutzung der Google Drive API sowohl für die Datenexfiltration als auch für die Bereitstellung von Payloads. Dadurch entsteht ein diskreter und schwer erkennbarer Kommunikationskanal für Angreifer. Das Aufgabenverwaltungssystem dient dazu, Dateiübertragungen in eine Warteschlange zu stellen, das Anhalten und Fortsetzen dieser Übertragungen zu ermöglichen, Benutzern das Abbrechen laufender Vorgänge zu gestatten und Aktualisierungstoken zu generieren, um die kontinuierliche Aktivität aufrechtzuerhalten.
Die Backdoor selbst ist in C++ implementiert und kann umfangreiche Aufklärung auf infizierten Hosts durchführen, Dateien und Systembefehle ausführen sowie Daten zwischen kompromittierten Umgebungen und Google Drive übertragen. Sie kommuniziert über Standard-HTTP-Traffic mit einer fest codierten, nicht routingfähigen IP-Adresse. Dabei werden JSON-Daten per POST-Anfrage gesendet, nachdem sie mit Zlib komprimiert und mit AES-CBC und einem 16-Byte-Schlüssel (558bec83ec40535657833d7440001c00) verschlüsselt wurden. Alle ausgehenden Anfragen verwenden den Pfad `/api/client` und identifizieren sich mit dem User-Agent-String `NanoRemote/1.0`.
Die Malware stützt sich auf 22 Befehlshandler, die es ihr gemeinsam ermöglichen, Systeminformationen zu sammeln, Dateien und Verzeichnisse zu manipulieren, bereits auf der Festplatte vorhandene portable ausführbare Dateien auszuführen, zwischengespeicherte Daten zu löschen, die Bewegung von Dateien zu und von Google Drive zu steuern und ihren eigenen Vorgang auf Anweisung zu beenden.
Die Infektionskette beginnt mit einem Loader namens WMLOADER, wobei die Methode zur Übertragung von NANOREMOTE an die Opfer weiterhin unbekannt ist. WMLOADER tarnt sich als die Absturzbehandlungskomponente BDReinit.exe, eine Datei, die typischerweise mit einem legitimen Cybersicherheitstool in Verbindung gebracht wird, und ist für die Entschlüsselung des Shellcodes verantwortlich, der letztendlich die Hintertür startet.
Öffnung der Hintertür
Eine am 3. Oktober 2025 auf den Philippinen entdeckte Datei namens wmsetup.log kann mit WMLOADER und demselben 16-Byte-Schlüssel entschlüsselt werden. Diese Protokolldatei enthüllte eine FINALDRAFT-Implantation, was auf eine gemeinsame Codebasis und Entwicklungsumgebung zwischen FINALDRAFT und NANOREMOTE hindeutet.
Die Arbeitshypothese lautet, dass WMLOADER denselben fest codierten Schlüssel verwendet, da es in einen einheitlichen Build-Prozess integriert ist, der für die Verarbeitung mehrerer Nutzdaten ausgelegt ist.
