Siber güvenlik araştırmacıları, tam özellikli yeni bir Windows arka kapısının ayrıntılarını açıkladılar. NANO UZAKTAN UZAKTAN Komuta ve kontrol (C2) amacıyla Google Drive API’sini kullanan.
Elastic Security Labs tarafından hazırlanan bir rapora göre, kötü amaçlı yazılım, C2 için Microsoft Graph API’sini kullanan FINALDRAFT (diğer adıyla Squidoor) kod adlı başka bir implantla kod benzerlikleri paylaşıyor. FINALDRAFT, REF7707 (diğer adıyla CL-STA-0049, Earth Alux ve Jewelbug) olarak bilinen bir tehdit kümesine atfedilir.
Elastic Security Labs’ın baş güvenlik araştırmacısı Daniel Stepanic, “Kötü amaçlı yazılımın temel özelliklerinden biri, Google Drive API’sini kullanarak kurbanın uç noktasından ileri geri veri göndermeye odaklanıyor” dedi.
“Bu özellik, veri hırsızlığı ve veri yükü hazırlama için tespit edilmesi zor bir kanal sağlıyor. Kötü amaçlı yazılım, indirme/yükleme görevlerini sıraya koyma, dosya aktarımlarını duraklatma/sürdürme, dosya aktarımlarını iptal etme ve yenileme belirteçleri oluşturma gibi dosya aktarım özellikleri için kullanılan bir görev yönetim sistemi içeriyor.”
Palo Alto Networks Birim 42’ye göre, REF7707’nin Mart 2023’ten bu yana Güneydoğu Asya ve Güney Amerika’daki hükümetleri, savunma, telekomünikasyon, eğitim ve havacılık sektörlerini hedef alan şüpheli bir Çin faaliyet kümesi olduğuna inanılıyor. Ekim 2025’te Broadcom’un sahibi olduğu Symantec, bilgisayar korsanlığı grubunu bir Rus BT hizmet sağlayıcısını hedef alan beş ay süren bir saldırıyla ilişkilendirdi.
NANOREMOTE’u teslim etmek için kullanılan tam başlangıç erişim vektörü şu anda bilinmemektedir. Ancak gözlemlenen saldırı zinciri, Bitdefender’ın kilitlenme yönetimi bileşenini (“BDReinit.exe”) taklit eden ve arka kapıyı başlatmaktan sorumlu kabuk kodunun şifresini çözen WMLOADER adlı bir yükleyiciyi içeriyor.
C++ ile yazılan NANOREMOTE, Google Drive API’sini kullanarak keşif gerçekleştirmek, dosya ve komutları yürütmek ve kurban ortamlarına/kurban ortamlarından dosya aktarmak için donatılmıştır. Ayrıca, operatör tarafından gönderilen istekleri işlemek ve yanıtı geri göndermek için HTTP üzerinden sabit kodlu, yönlendirilemeyen bir IP adresiyle iletişim kuracak şekilde önceden yapılandırılmıştır.
Elastic, “Bu istekler, JSON verilerinin Zlib tarafından sıkıştırılmış ve 16 baytlık bir anahtar (558bec83ec40535657833d7440001c00) kullanılarak AES-CBC ile şifrelenmiş POST istekleri aracılığıyla gönderildiği HTTP üzerinden gerçekleşir” dedi. “Tüm istekler için URI, Kullanıcı Aracısı (NanoRemote/1.0) ile /api/client’i kullanır.”
Birincil işlevselliği, ana bilgisayar bilgilerini toplamasına, dosya ve dizin işlemlerini gerçekleştirmesine, diskte zaten mevcut olan taşınabilir yürütülebilir (PE) dosyaları çalıştırmasına, önbelleği temizlemesine, Google Drive’a dosya indirmesine/yüklemesine, veri aktarımlarını duraklatmasına/devam ettirmesine/iptal etmesine ve kendini sonlandırmasına olanak tanıyan bir dizi 22 komut işleyicisi aracılığıyla gerçekleştirilir.
Elastic, 3 Ekim 2025’te Filipinler’den VirusTotal’a yüklenen ve aynı 16 baytlık anahtarla WMLOADER tarafından şifresi çözülerek FINALDRAFT implantını ortaya çıkarabilen bir yapı (“wmsetup.log”) tespit ettiğini söyledi. Bu da iki kötü amaçlı yazılım ailesinin muhtemelen aynı tehdit aktörünün işi olduğunu gösteriyor. Her ikisinde de neden aynı sabit kodlu anahtarın kullanıldığı belli değil.
Stepanic, “Bizim hipotezimiz, WMLOADER’ın, çeşitli yüklerle çalışmasına olanak tanıyan aynı oluşturma/geliştirme sürecinin parçası olması nedeniyle aynı sabit kodlu anahtarı kullandığı yönündedir” dedi. “Bu, FINALDRAFT ve NANOREMOTE arasında ortak bir kod tabanı ve geliştirme ortamı olduğunu gösteren başka bir güçlü sinyal gibi görünüyor.”