Porte dérobée NANOREMOTE
Des chercheurs en cybersécurité ont découvert une porte dérobée Windows complète nommée NANOREMOTE, qui exploite l'API Google Drive pour ses opérations de commande et de contrôle (C2). Ce logiciel malveillant présente des capacités sophistiquées d'exfiltration de données et d'opérations à distance, ce qui en fait une menace importante pour les organisations ciblées.
Table des matières
Liens vers des activités de menace antérieures
NANOREMOTE partage des similitudes de code notables avec un autre implant, connu sous le nom de FINALDRAFT (également appelé Squidoor), qui utilise l'API Microsoft Graph pour le C2. FINALDRAFT est attribué à un cluster de menaces désigné REF7707 (également connu sous les noms de CL-STA-0049, Earth Alux et Jewelbug).
REF7707 serait un groupe d'espionnage informatique chinois présumé qui aurait ciblé :
- agences gouvernementales
- Organisations de défense
- entreprises de télécommunications
- établissements d'enseignement
- Secteurs de l'aviation
L'activité du groupe a été observée en Asie du Sud-Est et en Amérique du Sud depuis mars 2023. Notamment, en octobre 2025, des chercheurs ont lié REF7707 à une intrusion de cinq mois contre un fournisseur de services informatiques russe.
Capacités et architecture des logiciels malveillants
La fonctionnalité principale de NANOREMOTE repose sur l'exploitation de l'API Google Drive pour l'exfiltration de données et le déploiement de charges utiles, créant ainsi un canal de communication discret et difficile à détecter pour les attaquants. Son système de gestion des tâches permet de mettre en file d'attente les transferts de fichiers, de gérer leur suspension et leur reprise, d'autoriser les opérateurs à annuler les opérations en cours et de générer des jetons d'actualisation pour assurer une activité continue.
La porte dérobée, développée en C++, est capable d'effectuer une reconnaissance approfondie des hôtes infectés, d'exécuter des fichiers et des commandes système, et de transférer des données entre les environnements compromis et Google Drive. Elle communique également avec une adresse IP fixe non routable via le protocole HTTP standard. Lors de cette communication, des données JSON sont envoyées par requêtes POST après avoir été compressées avec Zlib et chiffrées à l'aide d'AES-CBC avec une clé de 16 octets (558bec83ec40535657833d7440001c00). Toutes les requêtes sortantes utilisent le chemin /api/client et s'identifient à l'aide de la chaîne d'agent utilisateur NanoRemote/1.0.
Le logiciel malveillant s'appuie sur un ensemble de 22 gestionnaires de commandes qui lui permettent collectivement de collecter des informations système, de manipuler des fichiers et des répertoires, d'exécuter des fichiers exécutables portables déjà présents sur le disque, d'effacer les données mises en cache, de contrôler le déplacement de fichiers vers et depuis Google Drive et de mettre fin à son propre fonctionnement sur instruction.
La chaîne d'infection débute par un programme de chargement nommé WMLOADER, mais la méthode de distribution de NANOREMOTE aux victimes reste inconnue. WMLOADER se fait passer pour le composant de gestion des plantages BDReinit.exe, un fichier généralement associé à un outil de cybersécurité légitime, et est responsable du déchiffrement du shellcode qui exécute la porte dérobée.
Lancement de la porte dérobée
Un fichier nommé wmsetup.log, découvert aux Philippines le 3 octobre 2025, peut être déchiffré par WMLOADER à l'aide de la même clé de 16 octets. Ce journal a révélé la présence d'un implant FINALDRAFT, suggérant un code source et un environnement de développement partagés entre FINALDRAFT et NANOREMOTE.
L'hypothèse de travail est que WMLOADER utilise la même clé codée en dur en raison de son intégration dans un processus de construction unifié conçu pour gérer plusieurs charges utiles.
