Los investigadores de ciberseguridad han revelado detalles de una nueva puerta trasera de Windows con todas las funciones llamada NANOMANDO que usa la API de Google Drive con fines de comando y control (C2).
Según un informe de Elastic Security Labs, el malware comparte similitudes de código con otro implante con nombre en código BORRADOR FINAL (también conocido como Squidoor) que emplea la API Graph de Microsoft para C2. FINALDRAFT se atribuye a un clúster de amenazas conocido como REF7707 (también conocido como CL-STA-0049, Earth Alux y Jewelbug).
«Una de las principales funciones del malware se centra en el envío de datos de ida y vuelta desde el punto final de la víctima mediante la API de Google Drive», afirma Daniel Stepanic, investigador principal de seguridad de Elastic Security Labs.
«Esta función acaba proporcionando un canal para el robo de datos y la puesta en escena de la carga útil que es difícil de detectar. El malware incluye un sistema de administración de tareas que se utiliza para transferir archivos, como poner en cola las tareas de descarga y carga, pausar o reanudar las transferencias de archivos, cancelar las transferencias de archivos y generar tokens de actualización».
Se cree que el REF7707 es un supuesto grupo de actividad chino que se ha dirigido a los sectores de los gobiernos, la defensa, las telecomunicaciones, la educación y la aviación en el sudeste asiático y Sudamérica desde marzo de 2023, según la Unidad 42 de Palo Alto Networks. En octubre de 2025, Symantec, propiedad de Broadcom atribuido el grupo de piratas informáticos a una intrusión de cinco meses dirigida contra un proveedor de servicios de TI ruso.
Actualmente se desconoce el vector de acceso inicial exacto utilizado para entregar NANOREMOTE. Sin embargo, la cadena de ataques observada incluye un cargador llamado WMLOADER que imita el componente de gestión de fallos de Bitdefender (» BDReinit.exe «) y descifra el código de shell responsable de lanzar el backdoor.
Escrito en C++, NANOREMOTE está equipado para realizar reconocimientos, ejecutar archivos y comandos y transferir archivos desde y hacia los entornos de las víctimas mediante la API de Google Drive. También está preconfigurado para comunicarse con una dirección IP codificada y no enrutable a través de HTTP para procesar las solicitudes enviadas por el operador y enviar la respuesta.
«Estas solicitudes se realizan a través de HTTP, donde los datos JSON se envían a través de solicitudes POST comprimidas en Zlib y cifradas con AES-CBC mediante una clave de 16 bytes (558bec83ec40535657833d7440001c00)», afirma Elastic. «El URI de todas las solicitudes usa /api/client con User-Agent (nanoRemote/1.0)».
Su funcionalidad principal se realiza a través de un conjunto de 22 controladores de comandos que le permiten recopilar información del host, realizar operaciones de archivos y directorios, ejecutar archivos ejecutables portátiles (PE) que ya están en el disco, borrar la caché, descargar/subir archivos a Google Drive, pausar/reanudar/cancelar las transferencias de datos y terminar por sí mismo.
Elastic dijo que había identificado un artefacto (» wmsetup.log «) subido a VirusTotal desde Filipinas el 3 de octubre de 2025, que WMLOADER puede descifrar con la misma clave de 16 bytes para revelar un implante FINALDRAFT, lo que indica que es probable que las dos familias de malware sean obra del mismo actor de amenazas. No está claro por qué se utiliza la misma clave codificada en ambas.
«Nuestra hipótesis es que WMLOADER usa la misma clave codificada debido a que forma parte del mismo proceso de construcción y desarrollo que le permite trabajar con varias cargas útiles», dijo Stepanic. «Esta parece ser otra señal fuerte que sugiere que FINALDRAFT y NANOREMOTE comparten una base de código y un entorno de desarrollo».