NANOREMOTEバックドア
サイバーセキュリティ研究者らは、Google Drive APIをコマンドアンドコントロール(C2)オペレーションに利用する、フル機能を備えたWindowsバックドア「NANOREMOTE」を発見しました。このマルウェアは、高度なデータ窃取機能とリモート操作機能を備えており、標的組織にとって重大な脅威となっています。
目次
以前の脅威活動へのリンク
NANOREMOTEは、C2にMicrosoft Graph APIを利用するFINALDRAFT(別名Squidoor)と呼ばれる別のインプラントと顕著なコード類似性を持っています。FINALDRAFTは、REF7707(別名CL-STA-0049、Earth Alux、Jewelbug)と呼ばれる脅威クラスターに起因しています。
REF7707 は、以下のものを標的とした中国のサイバースパイ集団であると考えられています。
- 政府機関
- 防衛組織
- 通信会社
- 教育機関
- 航空業界
このグループの活動は2023年3月以降、東南アジアと南米で観測されています。特に、2025年10月、研究者らはREF7707とロシアのITサービスプロバイダーに対する5か月にわたる侵入を関連付けました。
マルウェアの機能とアーキテクチャ
NANOREMOTEの中核機能は、Google Drive APIをデータの窃取とペイロードのステージングの両方に活用することで、攻撃者にとって目立たず検知困難な通信チャネルを構築することです。タスク管理システムは、ファイル転送をキューに登録し、転送の一時停止と再開を処理し、オペレーターが進行中の操作をキャンセルできるようにし、継続的なアクティビティを維持するためのリフレッシュトークンを生成するように設計されています。
バックドア自体はC++で構築されており、感染ホスト上で広範な偵察活動を行い、ファイルやシステムコマンドを実行し、侵害された環境とGoogleドライブ間でデータを移動することができます。また、標準HTTPトラフィックを使用して、ハードコードされたルーティング不可能なIPアドレスとの通信を維持します。この通信中、JSONデータはZlibで圧縮され、16バイトのキー(558bec83ec40535657833d7440001c00)を使用してAES-CBCで暗号化された後、POSTリクエストを通じて送信されます。すべての送信リクエストは/api/clientパスに依存し、NanoRemote/1.0 User-Agent文字列を使用して自身を識別します。
このマルウェアは、システム情報の収集、ファイルやディレクトリの操作、ディスク上にすでに存在するポータブル実行可能ファイルの実行、キャッシュされたデータの消去、Google ドライブとの間のファイルの移動の制御、指示されたときに自身の操作の終了を可能にする 22 個のコマンド ハンドラーのセットに依存しています。
感染経路はWMLOADERと呼ばれるローダーから始まりますが、NANOREMOTEを被害者に配信する手法は依然として不明です。WMLOADERは、正規のサイバーセキュリティツールに通常関連付けられているクラッシュ処理コンポーネントBDReinit.exeを装い、最終的にバックドアを起動するシェルコードの復号化を担います。
バックドアの起動
2025年10月3日にフィリピンで発見されたwmsetup.logというアーティファクトは、同じ16バイトのキーを用いてWMLOADERで復号可能です。このログにはFINALDRAFTの埋め込みが明らかにされており、FINALDRAFTとNANOREMOTEの間でコードベースと開発環境が共有されていることを示唆しています。
作業仮説としては、WMLOADER は複数のペイロードを処理するように設計された統合ビルド プロセスに統合されているため、同じハードコードされたキーを使用していると考えられます。
