NANOREMOTE: Neue Malware missbraucht Google Drive für verdeckte Steuerung : Sicherheitsanalysten entdecken ausgefeilte Windows-Backdoor mit raffinierter Cloud-Tarnung

Cybersicherheitsforscher von Elastic Security Labs haben eine voll funktionsfähige Windows-Backdoor namens NANOREMOTE analysiert, die sich durch einen ungewöhnlichen Command-and-Control-Ansatz auszeichnet. Statt eigene Infrastruktur bereitzustellen, verwenden die Betreiber die Google-Drive-Programmierschnittstelle (API), um Daten zwischen kompromittierten Systemen und ihren Servern auszutauschen. Damit verschiebt sich die Erkennung in schwierigere Territorien, denn Cloud-Dienste gehören zu den meistgenutzten Unternehmenswerkzeugen.

Verwandtschaft zu FINALDRAFT und klare Spuren Richtung China

Der Schadcode weist deutliche Ähnlichkeiten mit einem Implantat namens FINALDRAFT auf, das die Microsoft-Graph-API als Tarnung nutzt und der Angreifergruppe REF7707 (aka CL-STA-0049, Earth Alux, und Jewelbug) zugeschrieben wird. Dieser mutmaßlich chinesische Cluster attackiert seit dem Jahr 2023 Regierungsbehörden sowie Verteidigungs-, Telekommunikations-, Bildungs- und Luftfahrtorganisationen in Südostasien und Südamerika. Auch ein längerer Angriff auf einen russischen IT-Dienstleister im Oktober 2025 wurde dieser Gruppe zugeordnet.

Die Parallelen gehen laut Elastic weit über den Funktionsumfang hinaus: Beide Malware-Familien nutzen denselben fest verankerten kryptografischen Schlüssel, was stark auf eine gemeinsame Entwicklungsumgebung und ein einheitliches Tooling hindeutet.

Ein Loader im Bitdefender-Kleid

Wie NANOREMOTE initial auf Systeme gelangt, ist noch unklar. Sicher ist jedoch, dass ein Trojaner namens WMLOADER eine zentrale Rolle beim Nachladen spielt. Er gibt sich als Crash-Handling-Komponente von Bitdefender aus und entschlüsselt den Shellcode, der die Backdoor startet. Diese Täuschung erschwert die Erkennung erheblich, da sie in vertrauten Softwarepfaden operiert.

Google Drive als Tarnkappe für Datendiebstahl

Im Kern ist NANOREMOTE ein vielseitiges Werkzeug: geschrieben in C++, ausgestattet mit Funktionen für Erkundung, Befehlsausführung, Dateioperationen und Datentransfers. Insbesondere die Nutzung der Google-Drive-API ermöglicht es den Angreifern, Dateien unauffällig hoch- oder herunterzuladen, Aufgaben zu verwalten und Übertragungen flexibel zu steuern – inklusive Pausieren, Fortsetzen und Abbrechen.

Parallel dazu kommuniziert die Backdoor über das http-Protocol mit einer fest codierten, nicht route-baren IP-Adresse. Die Anfragen werden im JSON-Format über POST-Anfragen übermittelt, die mit Zlib komprimiert und mit AES-CBC unter Verwendung eines 16-Byte-Schlüssels (558bec83ec40535657833d7440001c00) verschlüsselt sind.

Insgesamt stehen 22 unterschiedliche Befehlshandler zur Verfügung, die von Systeminformationen über das Ausführen externer Programme bis zum Löschen von Caches beinahe alle Aspekte einer verdeckten Fernsteuerung abdecken.

Hinweise auf gemeinsame Entwicklungslinien

Ein in den Philippinen hochgeladenes Log-Artefakt („wmsetup.log„) liefert zusätzliche Indizien dafür, dass NANOREMOTE und FINALDRAFT aus derselben Schmiede stammen könnten. Elastic gelang es, mithilfe des bekannten Schlüssels ein weiteres Implantat aus WMLOADER zu extrahieren. Die enge Verzahnung deutet darauf hin, dass die Angreifer modulare Prozesse für den Bau und das Kombinieren ihrer Werkzeuge entwickelt haben.

Eine neue Generation getarnter Cloud-Angriffe

Der Fall NANOREMOTE zeigt, wie professionell Angreifer legitime Dienste ausnutzen, um Überwachung, Datenexfiltration und weitere Operationen zu verschleiern. Cloud-basierte Command-and-Control-Kanäle sind in vielen Netzwerkumgebungen kaum zu blockieren, da sie sich nahtlos in alltägliche Nutzungsmuster einfügen. Für Sicherheitsverantwortliche wird damit immer klarer: Auch völlig normal erscheinender Cloud-Verbindungen als essenzieller Baustein moderner Abwehrstrategien analysiert werden.