Исследователи Elastic Security Labs рассказали о появлении нового вредоносного ПО для Windows - NANOREMOTE. Это полноценный бэкдор, который использует необычный подход к связи с оператором. Он передает команды и данные через Google Drive API. Проще говоря, зараженная машина общается с хакером так, будто просто синхронизирует файлы с Google Диском.
Кто стоит за атакой
К вредоносу ведут следы, связанные с группировкой REF7707 (она же Earth Alux, Jewelbug). Эту группу считают выходцами из Китая. С 2023 года они активно атакуют госструктуры, оборонку, телеком-компании, университеты и авиационные организации в Юго-Восточной Азии и Южной Америке.
В 2025 году её также связывали с длительной атакой на крупного российского IT-провайдера.
Как работает NANOREMOTE
Пока неизвестно, как именно зловред попадает в систему. Но в зафиксированных атаках используется загрузчик WMLOADER, который маскируется под легитимный файл Bitdefender (BDReinit.exe). Он расшифровывает и запускает основной вредоносный модуль.
Дальше в ход идёт сам бэкдор, написанный на C++. Он умеет:
собирать сведения о системе,
выполнять любые команды и бинарные файлы,
управлять файлами и каталогами,
передавать данные обратно оператору,
загружать и скачивать файлы через Google Drive.
Причём модуль поддерживает 22 различных команды - от простых операций с файлами до запуска полезных нагрузок и завершения работы самого бэкдора.
Google Drive как центр управления
Одна из ключевых "фишек" NANOREMOTE это встроенный менеджер задач, который взаимодействует именно с Google Drive API.
Он может:
ставить в очередь задачи на скачивание и загрузку файлов,
приостанавливать и возобновлять передачу,
отменять операции,
автоматически обновлять токены доступа.
Это делает вредонос трудноотличимым от обычного софта, который синхронизирует файлы в облако.
Альтернативный канал связи
Помимо Google Drive, бэкдор связан с жестко прописанным IP-адресом. Команды передаются через POST-запросы в формате JSON.
Данные дополнительно сжаты (Zlib) и зашифрованы(AES-CBC) со статическим 16-байтным ключом. Шифрование и сжатие усложняют анализ трафика и детектирование.
Связь с другим вредоносом - FINALDRAFT
Исследователи нашли показательную деталь, другой шпионский модуль FINALDRAFT (известный также как Squidoor) - использует схожий подход, только работает через Microsoft Graph API.
Обе угрозы имеют общие элементы кода, а также одинаковый ключ расшифровки в загрузчике WMLOADER.
Это явный признак того, что:
либо у группы есть единая инфраструктура сборки вредоносных модулей,
либо оба инструмента части одного большого шпионского набора.
Что это значит
Использование Google Drive и других легитимных облачных сервисов - тренд последних лет. Для злоумышленников это удобно:
маскировка трафика под обычную работу приложений;
заводские API дают надёжные каналы связи;
сложнее заблокировать, не нарушив работу пользователей.
NANOREMOTE подтверждает, что группы APT активно переезжают с классических C2-серверов на облачные инструменты больших компаний.