Puerta trasera NANOREMOTE
Investigadores de ciberseguridad han descubierto una puerta trasera de Windows con todas las funciones, llamada NANOREMOTE, que aprovecha la API de Google Drive para sus operaciones de Comando y Control (C2). Este malware presenta sofisticadas capacidades de exfiltración de datos y operaciones remotas, lo que lo convierte en una amenaza significativa para las organizaciones objetivo.
Tabla de contenido
Enlaces a actividades de amenazas anteriores
NANOREMOTE comparte notables similitudes de código con otro implante, conocido como FINALDRAFT (también conocido como Squidoor), que utiliza la API de Microsoft Graph para C2. FINALDRAFT se atribuye a un clúster de amenazas denominado REF7707 (también conocido como CL-STA-0049, Earth Alux y Jewelbug).
Se cree que REF7707 es un presunto grupo chino de ciberespionaje que ha tenido como objetivo:
- Agencias gubernamentales
- Organizaciones de defensa
- Empresas de telecomunicaciones
- Instituciones educativas
- Sectores de la aviación
La actividad del grupo se ha observado en el sudeste asiático y Sudamérica desde marzo de 2023. En particular, en octubre de 2025, los investigadores vincularon a REF7707 con una intrusión de cinco meses contra un proveedor de servicios de TI ruso.
Capacidades y arquitectura del malware
La funcionalidad principal de NANOREMOTE se basa en el uso de la API de Google Drive para la exfiltración de datos y la preparación de la carga útil, creando un canal de comunicación discreto y difícil de detectar para los atacantes. Su sistema de gestión de tareas está diseñado para poner en cola las transferencias de archivos, gestionar su pausa y reanudación, permitir a los operadores cancelar operaciones en curso y generar tokens de actualización para mantener la actividad constante.
La puerta trasera está desarrollada en C++ y es capaz de realizar un reconocimiento exhaustivo de los hosts infectados, ejecutar archivos y comandos del sistema, y transferir datos entre entornos comprometidos y Google Drive. También mantiene comunicación con una dirección IP no enrutable y codificada mediante tráfico HTTP estándar. Durante esta comunicación, los datos JSON se envían mediante solicitudes POST tras ser comprimidos con Zlib y cifrados con AES-CBC con una clave de 16 bytes (558bec83ec40535657833d7440001c00). Todas las solicitudes salientes se basan en la ruta /api/client y se identifican mediante la cadena de agente de usuario de NanoRemote/1.0.
El malware se basa en un conjunto de 22 controladores de comandos que, en conjunto, le permiten recopilar información del sistema, manipular archivos y directorios, ejecutar archivos ejecutables portátiles ya presentes en el disco, borrar datos almacenados en caché, controlar el movimiento de archivos hacia y desde Google Drive y finalizar su propia operación cuando se le indica.
La cadena de infección comienza con un cargador conocido como WMLOADER, aunque se desconoce el método utilizado para entregar NANOREMOTE a las víctimas. WMLOADER se hace pasar por el componente de gestión de fallos BDReinit.exe, un archivo generalmente asociado con una herramienta legítima de ciberseguridad, y es responsable de descifrar el shellcode que finalmente lanza la puerta trasera.
Lanzamiento de la puerta trasera
Un artefacto llamado wmsetup.log, descubierto en Filipinas el 3 de octubre de 2025, puede ser descifrado por WMLOADER usando la misma clave de 16 bytes. Este registro reveló una implantación de FINALDRAFT, lo que sugiere una base de código y un entorno de desarrollo compartidos entre FINALDRAFT y NANOREMOTE.
La hipótesis de trabajo es que WMLOADER utiliza la misma clave codificada debido a su integración en un proceso de compilación unificado diseñado para manejar múltiples cargas útiles.
