El troyano NANOREMOTE emplea Google Drive para controlar equipos Windows infectados.

Un nuevo troyano multifuncional para Windows llamado NANOREMOTE utiliza un servicio de almacenamiento en la nube como centro de mando oculto, lo que dificulta la detección de la amenaza y proporciona a los atacantes un canal persistente para el robo de datos y la entrega de cargas adicionales.

Los especialistas de Elastic Security Labs informaron sobre la amenaza, comparando la pieza maliciosa con el implante ya conocido FINALDRAFT, también denominado Squidoor, que se apoya en Microsoft Graph para comunicarse con los operadores. Ambos instrumentos se vinculan con el clúster REF7707, mencionado en informes como CL-STA-0049, Earth Alux y Jewelbug, y atribuido a actividad de espionaje china contra organismos estatales, contratistas de defensa, empresas de telecomunicaciones, instituciones educativas y organizaciones aeronáuticas en países del sudeste asiático y de Sudamérica.

Según Symantec, este grupo ha llevado a cabo campañas de larga duración y encubiertas al menos desde 2023, incluida una intrusión de cinco meses en una empresa de TI en Rusia. Aún no se ha establecido el método exacto de la infección inicial de NANOREMOTE. En la cadena de ataque registrada se emplea el cargador WMLOADER, que se hace pasar por el componente de gestión de fallos del antivirus Bitdefender «BDReinit.exe». Este módulo descifra código shell y ejecuta la carga útil principal: el propio troyano.

NANOREMOTE está escrito en C++ y puede recopilar información del sistema, ejecutar comandos y archivos, además de transferir datos entre el dispositivo comprometido y la infraestructura de los operadores a través de Google Drive. Además, está configurado para comunicarse por HTTP con una dirección IP no enrutable fijada de forma rígida, a través de la cual recibe tareas y envía resultados. Para el intercambio se usan solicitudes POST con datos JSON, que se comprimen con Zlib y se cifran en modo AES-CBC con una clave de 16 bytes. En las solicitudes se emplea la ruta única «/api/client» y la cadena de identificación del cliente «NanoRemote/1.0».

Las capacidades principales del troyano se implementan mediante un conjunto de 22 controladores de comandos. Permiten recopilar y transmitir información sobre el host, gestionar archivos y directorios, limpiar la caché, ejecutar archivos PE ya presentes en el disco, detener su propio funcionamiento, así como subir y descargar archivos a la nube con la posibilidad de poner transferencias en cola, pausarlas, reanudarlas o cancelarlas.

Elastic Security Labs también halló el artefacto «wmsetup.log», subido a VirusTotal desde Filipinas el 3 de octubre de 2025 y que puede descifrarse con éxito por el módulo WMLOADER con la misma clave de cifrado. En su interior se encontró el implante FINALDRAFT, lo que indica un desarrollo conjunto. Según el investigador principal Daniel Stepanik, el cargador idéntico y el mismo enfoque para proteger el tráfico son otra señal de una base de código compartida y un proceso de compilación común para FINALDRAFT y NANOREMOTE, diseñado para funcionar con diferentes cargas útiles.