Ваш антивирус ведет себя странно? Возможно, это китайский шпион.

leer en español

NANOREMOTE Google Drive Windows Elastic Security Labs REF7707 WMLOADER кибершпионаж
Ваш антивирус ведет себя странно? Возможно, это китайский шпион.
NANOREMOTE Google Drive Windows Elastic Security Labs REF7707 WMLOADER кибершпионаж

В распоряжении операторов оказался внушительный арсенал из 22 функций.

image

Новый многофункциональный троянец для Windows под названием NANOREMOTE использует облачный сервис хранения файлов в качестве скрытого центра управления, что усложняет обнаружение угрозы и даёт злоумышленникам устойчивый канал для кражи данных и доставки дополнительных загрузок.

Об угрозе сообщили специалисты Elastic Security Labs, сопоставившие зловред с уже известным имплантом FINALDRAFT, также известным как Squidoor, который опирается на Microsoft Graph для связи с операторами. Оба инструмента связывают с кластером REF7707, фигурирующим в отчётах как CL-STA-0049, Earth Alux и Jewelbug и приписываемым китайской шпионской активности против государственных структур, оборонных подрядчиков, телеком-компаний, образовательных и авиационных организаций в странах Юго-Восточной Азии и Южной Америки.

По данным Symantec, эта группа проводит длительные скрытые кампании по меньшей мере с 2023 года, в том числе пятимесячное проникновение в IT-компанию в России. Точный способ начального проникновения NANOREMOTE пока не установлен. В зафиксированной цепочке атаки используется загрузчик WMLOADER, маскирующийся под компонент обработки сбоев антивируса Bitdefender «BDReinit.exe». Этот модуль расшифровывает шелл-код и запускает основную полезную нагрузку — сам троянец.

NANOREMOTE написан на C++ и может собирать сведения о системе, выполнять команды и файлы, а также передавать данные между заражённым устройством и инфраструктурой операторов через Google Drive. Дополнительно он настроен на связь по протоколу HTTP с жёстко прописанным немаршрутизируемым IP-адресом, через который получает задачи и отправляет результаты. Для обмена применяются POST-запросы с JSON-данными, которые сжимаются с помощью Zlib и шифруются в режиме AES-CBC с 16-байтным ключом. В запросах используется единый путь «/api/client» и строка идентификации клиента «NanoRemote/1.0».

Основные возможности троянца реализованы через набор из 22 обработчиков команд. Они позволяют собирать и передавать информацию о хосте, управлять файлами и каталогами, очищать кэш, запускать уже расположенные на диске исполняемые PE-файлы, останавливать собственную работу, а также загружать и выгружать файлы в облако с возможностью ставить передачи в очередь, приостанавливать и возобновлять их или отменять.

Elastic Security Labs также обнаружила артефакт «wmsetup.log», загруженный на VirusTotal из Филиппин 3 октября 2025 года и успешно расшифровываемый модулем WMLOADER тем же ключом шифрования. Внутри него оказался имплант FINALDRAFT, что указывает на общую разработку. По оценке ведущего исследователя Даниэля Степаника, одинаковый загрузчик и единый подход к защите трафика — ещё один признак единой кодовой базы и общего процесса сборки для FINALDRAFT и NANOREMOTE, рассчитанного на работу с разными полезными нагрузками.