Investigadores de ciberseguridad han revelado detalles de una nueva puerta trasera de Windows completamente funcional llamada ” NANOREMOTO que utiliza la API de Google Drive para fines de comando y control (C2).
Según un informe de Elastic Security Labs, el malware comparte similitudes de código con otro implante con nombre en código FINALDRAFT (también conocido como Squidoor), que utiliza la API Microsoft Graph para C2. FINALDRAFT está asociado con un grupo de amenazas llamado REF7707 (también conocido como CL-STA-0049, Earth Alux y Jewelbug).
“Una de las funciones principales del malware es enviar y recibir datos desde el punto final de la víctima utilizando la API de Google Drive”, dijo Daniel Stepanic, investigador principal de seguridad de Elastic Security Labs.
“Esta capacidad, en última instancia, proporciona un canal para el robo de datos y la preparación de carga útil que es difícil de detectar. El malware incluye un sistema de gestión de tareas utilizado para funciones de transferencia de archivos, que incluyen poner en cola tareas de descarga/carga, pausar/reanudar transferencias de archivos, cancelar transferencias de archivos y generar tokens de actualización”.
Se cree que REF7707 es un grupo de actividad chino sospechoso que se ha dirigido a los sectores de gobiernos, defensa, telecomunicaciones, educación y aviación en el sudeste asiático y América del Sur ya en marzo de 2023, según la Unidad 42 de Palo Alto Networks. En octubre de 2025, Symantec, una subsidiaria de Broadcom, rastreó al grupo de piratas informáticos hasta una infracción de cinco meses de duración contra un proveedor de servicios de TI ruso.
Actualmente se desconoce el vector de acceso inicial exacto utilizado para implementar NANOREMOTE. Sin embargo, la cadena de ataque observada involucra un cargador llamado WMLOADER, que imita el componente de manejo de fallas de Bitdefender (“BDReinit.exe”) y descifra el código shell responsable de iniciar la puerta trasera.
Escrito en C++, NANOREMOTE puede realizar reconocimientos, ejecutar archivos y comandos, y transferir archivos hacia y desde entornos de víctimas utilizando la API de Google Drive. También está preconfigurado para comunicarse con una dirección IP codificada y no enrutable a través de HTTP para procesar las solicitudes enviadas por el operador y devolver la respuesta.
“Estas solicitudes se realizan a través de HTTP, con los datos JSON enviados a través de solicitudes POST que están comprimidos en Zlib y cifrados con AES-CBC usando una clave de 16 bytes (558bec83ec40535657833d7440001c00)”, dijo Elastic. “El URI para todas las solicitudes utiliza /api/client con User-Agent (NanoRemote/1.0)”.
Su funcionalidad principal se realiza a través de un conjunto de 22 controladores de comandos que le permiten recopilar información del host, realizar operaciones de archivos y directorios, ejecutar ejecutables portátiles (PE) ya presentes en el disco, borrar el caché, descargar/cargar archivos en Google Drive, pausar/reanudar/cancelar transferencias de datos y finalizarse.
Elastic dijo que identificó un artefacto (“wmsetup.log”) subido a VirusTotal desde Filipinas el 3 de octubre de 2025, que puede ser descifrado por WMLOADER usando la misma clave de 16 bytes para revelar un implante FINALDRAFT, lo que indica que las dos familias de malware probablemente sean obra del mismo actor de amenazas. No está claro por qué se utiliza la misma clave codificada para ambos.
“Nuestra hipótesis es que WMLOADER utiliza la misma clave codificada porque es parte del mismo proceso de construcción/desarrollo, lo que le permite trabajar con diferentes cargas útiles”, dijo Stepanic. “Esta parece ser otra señal fuerte que apunta a una base de código y un entorno de desarrollo comunes entre FINALDRAFT y NANOREMOTE”.
About The Author
