Investigadores de ciberseguridad han revelado detalles de un nuevo y completo backdoor para Windows, denominado NANOREMOTE, que utiliza la API de Google Drive con fines de comando y control (C2).
Según un informe de Elastic Security Labs, el malware comparte similitudes de código con otro implante codenombrado FINALDRAFT (también conocido como Squidoor), que emplea la API de Microsoft Graph para C2. FINALDRAFT se atribuye a un clúster de amenazas conocido como REF7707 (también conocido como CL-STA-0049, Earth Alux y Jewelbug).
«Una de las características principales del malware se centra en el envío de datos de ida y vuelta desde el punto final víctima utilizando la API de Google Drive», afirmó Daniel Stepanic, investigador principal de seguridad en Elastic Security Labs.
«Esta característica proporciona un canal para el robo de datos y la preparación de cargas útiles que es difícil de detectar. El malware incluye un sistema de gestión de tareas utilizado para capacidades de transferencia de archivos que incluyen la puesta en cola de tareas de descarga/carga, la pausa/reanudación de transferencias de archivos, la cancelación de transferencias de archivos y la generación de tokens de actualización.»
Se cree que REF7707 es un clúster de actividad china sospechosa que ha atacado a gobiernos, defensa, telecomunicaciones, educación y sectores de aviación en el sudeste asiático y América del Sur desde marzo de 2023, según Palo Alto Networks Unit 42. En octubre de 2025, Symantec, propiedad de Broadcom, atribuyó al grupo de hackers una intrusión de cinco meses de duración dirigida a un proveedor de servicios de TI ruso.
El vector de acceso inicial exacto utilizado para entregar NANOREMOTE actualmente se desconoce. Sin embargo, la cadena de ataque observada incluye un cargador llamado WMLOADER que imita un componente de manejo de fallos de Bitdefender («BDReinit.exe») y descifra el shellcode responsable de lanzar el backdoor.
Escrito en C++, NANOREMOTE está equipado para realizar reconocimiento, ejecutar archivos y comandos, y transferir archivos hacia y desde entornos de víctimas utilizando la API de Google Drive. También está preconfigurado para comunicarse con una dirección IP no enrutable codificada en el programa a través de HTTP para procesar las solicitudes enviadas por el operador y enviar la respuesta.
«Estas solicitudes se producen a través de HTTP donde los datos JSON se envían a través de solicitudes POST que están comprimidas con Zlib y cifradas con AES-CBC utilizando una clave de 16 bytes (558bec83ec40535657833d7440001c00)», dijo Elastic. «La URI para todas las solicitudes utiliza /api/client con User-Agent (NanoRemote/1.0).»
Su funcionalidad principal se realiza a través de un conjunto de 22 controladores de comandos que le permiten recopilar información del host, llevar a cabo operaciones de archivos y directorios, ejecutar archivos ejecutables portátiles (PE) ya presentes en el disco, borrar la caché, descargar/cargar archivos a Google Drive, pausar/reanudar/cancelar transferencias de datos y terminar su ejecución.
Elastic dijo que identificó un artefacto («wmsetup.log«) subido a VirusTotal desde Filipinas el 3 de octubre de 2025, que es capaz de ser descifrado por WMLOADER con la misma clave de 16 bytes para revelar un implante FINALDRAFT, lo que indica que las dos familias de malware probablemente son obra del mismo actor de amenazas. No está claro por qué se está utilizando la misma clave codificada en ambos.
«Nuestra hipótesis es que WMLOADER utiliza la misma clave codificada debido a que forma parte del mismo proceso de construcción/desarrollo que le permite funcionar con varios payloads», dijo Stepanic. «Esto parece ser otra señal fuerte que sugiere una base de código compartida y un entorno de desarrollo entre FINALDRAFT y NANOREMOTE.»
