Redazione RHC:12 Dezembro 2025 16:54
Um novo Trojan multifuncional do Windows chamado NANOREMOTE Usos um serviço de armazenamento de arquivos na nuvem como seu centro de comando , tornando a ameaça mais difícil de ser detectada e dando aos atacantes um canal persistente para roubar dados e entregar downloads adicionais.
A ameaça foi reportado pela Elastic Security Labs, que comparou o Malware para o já conhecido RASCUNHO FINAL implante, também conhecido como Squidoor , que depende de Microsoft Graph para se comunicar com os operadores.
Ambas as ferramentas estão associadas ao REF7707 cluster, reportado como CL-STA-0049, Earth Alux e Jewelbug , e atribuída a Atividades de espionagem chinesa contra agências governamentais, contratantes de defesa, empresas de telecomunicações, instituições educacionais e organizações de aviação no Sudeste Asiático e América do Sul.
De acordo com Symantec, esse grupo tem sido realizando campanhas secretas de longo prazo desde pelo menos 2023, incluindo uma infiltração de cinco meses em uma empresa de TI na Rússia . O método exato da infiltração inicial do NANOREMOTE ainda não foi determinado. A cadeia de ataque documentada utiliza o Downloader WMLOADER, disfarçado como o componente de gerenciamento de falhas do programa antivírus Bitdefender, ” BDReinit.exe Esse módulo descriptografa o shellcode e lança a carga principal: o próprio Trojan.
NANOREMOTE é escrito em C++ e pode coletar informações do sistema, executar comandos e arquivos, e transferir dados entre o dispositivo infectado e a infraestrutura do operador via Google Drive. Também está configurado para se comunicar via HTTP com um IP codificado fixamente, não roteável, por meio do qual recebe tarefas e envia resultados. As trocas são feitas via solicitações POST com dados JSON, comprimido usando Zlib e criptografado em AES-CBC com uma chave de 16 bytes. As requisições usam um único caminho, “/api/client”, e a string identificadora do cliente, “NanoRemote/1.0.”
As principais funções do Trojan são implementadas por meio de um Conjunto de 22 Comandantes. Esses manejadores permitem coletar e transmitir informações do host, gerenciar arquivos e diretórios, limpar o cache, lançar arquivos executáveis PE já presentes no disco, encerrar sua operação e enviar e baixar arquivos para a nuvem, com a capacidade de enfileirar, pausar, retomar ou cancelar transferências.
A Elastic Security Labs também descobriu o ” wmsetup.log” artefato, carregado em VirusTotal das Filipinas em 3 de outubro de 2025, e descriptografado com sucesso pelo WMLOADER módulo usando a mesma chave de criptografia.
Ela continha um RASCUNHO FINAL Implante, indicando desenvolvimento articular. Segundo o pesquisador principal Daniel Stepanic, o mesmo carregador e a abordagem unificada para proteção de tráfego são mais indicações de uma base de código e um processo de construção unificados para FINALDRAFT e NANOREMOTE, projetados para lidar com diferentes cargas úteis.
- #apt
- #cybersecurity
- #trojan
- Comunicações C2
- Roubo de dados
- Laboratórios de Segurança Elástica
- Google Drive
- Jewelbug
- Malware
- NANOREMOTE
- REF7707
- Spionaggio Cinese
Redazione
A equipe editorial do Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias iniciais sobre cibersegurança e computação em geral.