Underc0de - La Casa de los Informáticos

Investigadores de ciberseguridad han revelado detalles de una sofisticada puerta trasera para Windows denominada NANOREMOTE, un implante altamente funcional que destaca por utilizar la API de Google Drive como canal de comando y control (C2). Este enfoque, poco habitual pero extremadamente efectivo para evadir detecciones, permite a los atacantes operar de forma discreta dentro de redes corporativas comprometidas.

El descubrimiento fue publicado por Elastic Security Labs, cuyos analistas identificaron múltiples similitudes entre NANOREMOTE y otro implante previamente documentado: FINALDRAFT, también conocido como Squidoor. FINALDRAFT utiliza la API Microsoft Graph como mecanismo de C2 y ha sido asociado al grupo de amenazas REF7707, también conocido como CL-STA-0049, Earth Alux o Jewelbug. Este grupo es considerado por diversos equipos de inteligencia como un posible actor vinculado a intereses chinos, con actividad sostenida desde al menos marzo de 2023.

Un canal C2 basado en Google Drive: sigilo, persistencia y evasión

Uno de los aspectos más llamativos de NANOREMOTE es su capacidad para comunicarse con los operadores utilizando la infraestructura legítima de Google Drive. Según Daniel Stepanic, investigador principal de Elastic Security Labs, esta técnica ofrece al malware un canal de exfiltración y transferencia de archivos extremadamente difícil de detectar:

Citar"Una de las principales características del malware se centra en enviar datos de ida y vuelta desde el punto final víctima mediante la API de Google Drive. Esto acaba proporcionando un canal de robo de datos y preparación de cargas útiles complejo de identificar".

El implante incorpora un sistema de gestión de tareas que le permite manejar operaciones avanzadas de transferencia de archivos, entre las que destacan:

• Cola de tareas para descargas y subidas
• Pausar y reanudar transferencias
• Cancelar transferencias en curso
• Generar tokens de actualización para mantener sesiones activas

Este nivel de funcionalidad convierte a NANOREMOTE en una herramienta flexible para espionaje, persistencia y movimientos laterales dentro de entornos comprometidos.

REF7707: un actor activo en gobiernos, telecomunicaciones y defensa

La atribución señalada por Elastic coincide con hallazgos previos de la Unidad 42 de Palo Alto Networks, que ha observado operaciones de REF7707 dirigidas contra:

• Instituciones gubernamentales
• Sector defensa
• Telecomunicaciones
• Educación
• Aviación

Estas campañas se han registrado principalmente en el sudeste asiático y Sudamérica. Además, un informe de octubre de 2025 de Symantec (Broadcom) atribuyó al grupo un ataque de cinco meses contra un proveedor ruso de servicios informáticos, reforzando la hipótesis de que es un actor con capacidades avanzadas y objetivos estratégicos.

WMLOADER: el vector previo en la cadena de ataque

Aunque el método exacto utilizado para entregar NANOREMOTE no se ha determinado, sí se observa un patrón común en las campañas relacionadas: el uso de un cargador denominado WMLOADER.

Este componente malicioso:

• Se hace pasar por el archivo legítimo BDReinit.exe de Bitdefender
• Descifra un shellcode incrustado
• Carga y ejecuta la puerta trasera final

WMLOADER actúa como un puente entre la intrusión inicial y la instalación del implante avanzado, lo que permite al actor tener flexibilidad y modularidad en su cadena de infección.

Capacidades técnicas de NANOREMOTE: 22 comandos para control total

Escrito en C++, NANOREMOTE dispone de una amplia gama de funcionalidades diseñadas para espionaje y control remoto de sistemas Windows. Su arquitectura se comunica con una dirección IP codificada (no enrutable) mediante solicitudes HTTP POST con datos comprimidos y cifrados.

Características técnicas destacadas:

• Cifrado AES-CBC integrado con compresión Zlib
• Clave estática de 16 bytes: 558bec83ec40535657833d7440001c00
• URI estándar /api/client
• User-Agent fijo: NanoRemote/1.0

El implante cuenta con 22 manejadores de comandos, capaces de:

• Recopilar información del host
• Listar, mover y eliminar archivos y directorios
• Ejecutar archivos PE presentes en disco
• Limpiar caché
• Descargar y subir archivos mediante Google Drive
• Pausar, reanudar y cancelar transferencias
• Autodestruirse cuando el operador lo requiera

Este conjunto de herramientas convierte a NANOREMOTE en una puerta trasera completa, con capacidades equivalentes a las de un framework de acceso mantenido.

Una clave compartida: indicio de una base de código común

Elastic descubrió un artefacto llamado "wmsetup.log", subido a VirusTotal desde Filipinas el 3 de octubre de 2025. El archivo puede ser descifrado usando la misma clave estática de 16 bytes empleada por WMLOADER, revelando un implante FINALDRAFT.

La reutilización de esta clave en ambos malwares llevó a los investigadores a concluir que:

• Ambas familias probablemente comparten una misma base de código
• Los desarrollos se originan en un entorno común
• REF7707 emplea una cadena modular con alto reaprovechamiento interno

CitarSegún Stepanic:

"Esto parece ser otra señal fuerte que sugiere una base de código compartida y un entorno de desarrollo entre FINALDRAFT y NANOREMOTE."

En fin...

NANOREMOTE representa una evolución clara en las tácticas de espionaje basadas en malware. Su capacidad para aprovechar APIs legítimas como Google Drive, junto con estructuras modulares como WMLOADER y FINALDRAFT, demuestra un alto nivel de sofisticación y un enfoque en operaciones sigilosas de larga duración.

Fuente: https://thehackernews.com/