Investigadores de ciberseguridad han revelado detalles de una nueva puerta trasera de Windows con todas las funciones llamada NANO REMOTO que utiliza la API de Google Drive para fines de comando y control (C2).
Según un informe de Elastic Security Labs, el malware comparte similitudes de código con otro implante con nombre en código FINALDRAFT (también conocido como Squidoor) que emplea Microsoft Graph API para C2. FINALDRAFT se atribuye a un grupo de amenazas conocido como REF7707 (también conocido como CL-STA-0049, Earth Alux y Jewelbug).
«Una de las características principales del malware se centra en el envío de datos de ida y vuelta desde el punto final de la víctima utilizando la API de Google Drive», dijo Daniel Stepanic, investigador principal de seguridad de Elastic Security Labs.
«Esta característica termina proporcionando un canal para el robo de datos y la preparación de carga útil que es difícil de detectar. El malware incluye un sistema de administración de tareas utilizado para capacidades de transferencia de archivos que incluyen poner en cola tareas de descarga/carga, pausar/reanudar transferencias de archivos, cancelar transferencias de archivos y generar tokens de actualización».
Se cree que REF7707 es un grupo de actividad chino sospechoso que se ha dirigido a los sectores de gobiernos, defensa, telecomunicaciones, educación y aviación en el sudeste asiático y América del Sur desde marzo de 2023, según la Unidad 42 de Palo Alto Networks. En octubre de 2025, Symantec, propiedad de Broadcom, atribuyó el grupo de hackers a una intrusión de cinco meses de duración dirigida a un proveedor de servicios de TI ruso.
Actualmente se desconoce el vector de acceso inicial exacto utilizado para entregar NANOREMOTE. Sin embargo, la cadena de ataque observada incluye un cargador llamado WMLOADER que imita el componente de manejo de fallas de Bitdefender («BDReinit.exe») y descifra el código shell responsable de iniciar la puerta trasera.
Escrito en C++, NANOREMOTE está equipado para realizar reconocimientos, ejecutar archivos y comandos, y transferir archivos hacia y desde entornos de víctimas utilizando la API de Google Drive. También está preconfigurado para comunicarse con una dirección IP codificada y no enrutable a través de HTTP para procesar las solicitudes enviadas por el operador y enviar la respuesta.
«Estas solicitudes se producen a través de HTTP, donde los datos JSON se envían a través de solicitudes POST que están comprimidas en Zlib y cifradas con AES-CBC usando una clave de 16 bytes (558bec83ec40535657833d7440001c00)», dijo Elastic. «El URI para todas las solicitudes utiliza /api/client con User-Agent (NanoRemote/1.0)».
Su funcionalidad principal se realiza a través de un conjunto de 22 controladores de comandos que le permiten recopilar información del host, realizar operaciones de archivos y directorios, ejecutar archivos ejecutables portátiles (PE) ya presentes en el disco, borrar caché, descargar/cargar archivos en Google Drive, pausar/reanudar/cancelar transferencias de datos y finalizarse.
Elastic dijo que identificó un artefacto («wmsetup.log») subido a VirusTotal desde Filipinas el 3 de octubre de 2025, que WMLOADER puede descifrar con la misma clave de 16 bytes para revelar un implante FINALDRAFT, lo que indica que las dos familias de malware probablemente sean obra del mismo actor de amenazas. No está claro por qué se utiliza la misma clave codificada en ambos.
«Nuestra hipótesis es que WMLOADER utiliza la misma clave codificada debido a que es parte del mismo proceso de construcción/desarrollo que le permite trabajar con varias cargas útiles», dijo Stepanic. «Esta parece ser otra fuerte señal que sugiere una base de código y un entorno de desarrollo compartidos entre FINALDRAFT y NANOREMOTE».
