「NANOREMOTE」と名付けられた新たな多機能Windows トロイの木馬は、クラウドベースのファイルストレージサービスを秘匿されたコマンド&コントロール(C2)ハブとして悪用しており、検知を困難にすると同時に、攻撃者に対してデータ流出および追加ペイロード配信のための堅牢なチャネルを提供している。
この脅威はElastic Security Labsの研究者によって公開され、マルウェアは既に特定されているインプラント「FINALDRAFT」(別名Squidoor)と関連付けられた。FINALDRAFTはオペレーターとの通信にMicrosoft Graphを利用している。両ツールはREF7707クラスターに帰属されており、CL-STA-0049、Earth Alux、Jewelbugといった別名で報告されているほか、東南アジアおよび南米の政府機関、防衛関連企業、通信事業者、教育機関、航空関連組織を標的とした中国のスパイ活動キャンペーンとの関連が指摘されている。
Symantecによると、このグループは少なくとも2023年以降、長期間にわたるステルス性の高い作戦を展開しており、その中にはロシアのIT企業に対する5か月間の侵入も含まれる。NANOREMOTEの正確な初期侵入経路は依然として不明だが、観測された攻撃チェーンでは「WMLOADER」と呼ばれるローダーが使用されており、Bitdefenderのクラッシュ処理コンポーネント「BDReinit.exe」を装っている。このモジュールはシェルコードを復号し、トロイの木馬本体である主要ペイロードを起動する。
C++で記述されたNANOREMOTEは、システム情報の収集、コマンドやファイルの実行、感染ホストとオペレーターインフラ間のデータ転送をGoogle Drive経由で行うことが可能である。並行して、ハードコードされたルーティング不可能なIPアドレスとの間でHTTP通信を行い、そこからタスクを受信し、結果を返送する。通信には、Zlibで圧縮しAES-CBC(16バイト鍵)で暗号化したJSONペイロードを含むPOSTリクエストが用いられる。すべてのリクエストは共通のエンドポイント「/api/client」を使用し、クライアント文字列「NanoRemote/1.0」で自身を識別する。
このトロイの木馬の中核機能は22個のコマンドハンドラー群として実装されている。これにより、ホスト偵察、ファイルおよびディレクトリ管理、キャッシュのクリーンアップ、常駐PEバイナリの実行、自身の終了、さらにキューイング、一時停止、再開、キャンセル機能を備えたクラウドへの双方向ファイル転送が可能となる。
Elastic Security Labsはまた、「wmsetup.log」と名付けられたアーティファクトを特定した。これは2025年10月3日にフィリピンからVirusTotalへアップロードされたもので、同一の暗号鍵を用いてWMLOADERによって復号可能であった。このファイルにはFINALDRAFTインプラントが含まれており、両者が共通の開発基盤を持つことを裏付けている。主任研究員Daniel Stepanikによれば、共通のローダーと同一のトラフィック保護方式は、FINALDRAFTとNANOREMOTEの両方を支える統一されたコードベースおよびビルドパイプラインの存在を示しており、複数の交換可能なペイロードをサポートするよう設計されているという。
