Hackers chineses estão usando a nuvem para espionagem sofisticada. Recentemente, pesquisadores de segurança descobriram o malware NANOREMOTE, um backdoor que explora a API legítima do Google Drive para comunicação de comando e controle (C2), tornando sua detecção extremamente difícil. Essa abordagem inovadora permite que o tráfego malicioso se misture a atividades normais da nuvem, passando despercebido pelas ferramentas tradicionais de monitoramento de rede. O NANOREMOTE Google Drive representa um avanço preocupante em técnicas de Living Off the Land, onde serviços legítimos são aproveitados para fins maliciosos.
O objetivo deste artigo é detalhar o funcionamento do NANOREMOTE, explicando como ele utiliza o Google Drive para C2, relacionando-o ao grupo REF7707, conhecido por ataques direcionados, e analisar o impacto dessa ameaça na segurança cibernética moderna. A sofisticação do malware e o uso de serviços confiáveis como canal de comunicação mostram que empresas e usuários precisam adotar monitoramento comportamental mais avançado, além de soluções tradicionais de segurança.
A técnica de usar APIs de serviços em nuvem para controle remoto representa uma das maiores dores de cabeça para analistas de segurança, pois o tráfego se camufla como atividades legítimas. Esse cenário reforça a urgência de entender e monitorar padrões anômalos de comportamento dentro de ambientes corporativos e pessoais.
Comando e controle furtivo: como o NANOREMOTE usa a API do Google Drive
O NANOREMOTE no Google Drive opera com um modelo de C2 baseado em nuvem que é ao mesmo tempo simples e engenhoso. Ao invés de estabelecer conexões diretas com servidores maliciosos, o malware envia e recebe comandos usando arquivos armazenados temporariamente no Google Drive. Essa abordagem permite que operadores controlem sistemas infectados sem levantar suspeitas em firewalls ou sistemas de detecção de intrusão convencionais.
A mecânica da comunicação
O malware interage com a API do Google Drive para upload e download de arquivos, funcionando como um canal discreto entre o operador e a vítima. Os arquivos de comando e payloads são criptografados com AES-CBC e comprimidos usando Zlib, garantindo confidencialidade e compactação eficiente. Cada requisição é encapsulada em chamadas HTTP padrão, tornando praticamente impossível diferenciar o tráfego legítimo do tráfego malicioso para sistemas de monitoramento que não analisam conteúdo de arquivos ou comportamento. O uso de canais HTTP não roteáveis adiciona uma camada extra de furtividade, pois o malware não precisa de servidores externos visíveis para operar.
A sofisticação do C2 baseado em nuvem
O conceito de usar serviços legítimos para C2 é conhecido como Living Off the Land (LotL). No caso do NANOREMOTE, essa técnica é levada ao extremo: o Google Drive é usado tanto para armazenar temporariamente payloads quanto para transferir dados roubados. Isso dificulta a detecção porque o tráfego se mistura a atividades normais de usuários e sistemas. Ferramentas tradicionais de análise de tráfego podem não identificar padrões suspeitos, especialmente quando a comunicação é criptografada e compactada. A sofisticação reside em explorar confiança implícita em serviços legítimos, o que exige soluções de segurança mais inteligentes e baseadas em comportamento.
Ligações perigosas: NANOREMOTE, FINALDRAFT e o grupo REF7707
Pesquisas indicam que o NANOREMOTE compartilha semelhanças significativas com o malware FINALDRAFT (também conhecido como Squidoor). Algumas seções do código são quase idênticas, e ambos utilizam chaves codificadas em WMLOADER, sugerindo que os malwares podem ter sido desenvolvidos em um ambiente compartilhado ou por equipes com conhecimento comum. Essa ligação fortalece a suspeita de que o NANOREMOTE Google Drive não é apenas um experimento isolado, mas parte de uma campanha de espionagem coordenada.
Quem é o REF7707?
O grupo REF7707 é um ator de ameaças cibernéticas ligado à China, com histórico de ataques direcionados a governos, setores de defesa e organizações estratégicas na Ásia e América do Sul. Em 2025, o grupo foi associado a uma intrusão significativa em sistemas críticos na Rússia. O uso do NANOREMOTE e do FINALDRAFT indica que o REF7707 continua a adotar técnicas avançadas de espionagem, incluindo o aproveitamento de serviços em nuvem confiáveis para evitar detecção e manter acesso prolongado aos sistemas-alvo.
A cadeia de ataque e capacidades do backdoor
O NANOREMOTE é distribuído via carregador WMLOADER, que se disfarça como BDReinit.exe, simulando componentes legítimos do Bitdefender para evitar suspeitas. Uma vez executado, o malware se conecta à API do Google Drive e inicia seu backdoor, permitindo ao operador:
- Reconhecimento detalhado do sistema infectado
- Execução de arquivos e comandos remotamente
- Transferência de arquivos e dados sensíveis de forma furtiva
- Atualização e execução de payloads adicionais, mantendo persistência
Essa cadeia de ataque evidencia o nível avançado de planejamento e sofisticação do malware, tornando o NANOREMOTE uma ameaça significativa para qualquer organização que use serviços de nuvem de forma intensiva.
Conclusão: a evolução da espionagem cibernética na nuvem
O NANOREMOTE no Google Drive demonstra como os malwares modernos evoluíram para explorar serviços legítimos em vez de depender de infraestrutura própria. A capacidade de operar de forma furtiva, combinada com técnicas de criptografia e compressão, torna a detecção extremamente desafiadora. Profissionais de segurança devem monitorar tráfego de APIs de nuvem, identificar padrões anômalos de comportamento e implementar soluções baseadas em análise comportamental para minimizar riscos.
A espionagem cibernética na nuvem não é mais uma ameaça distante. Entender táticas como Living Off the Land, manter sistemas atualizados e adotar ferramentas de monitoramento inteligente são passos essenciais para proteger dados sensíveis. O NANOREMOTE é um alerta claro de que a segurança na era da nuvem exige vigilância constante, conhecimento técnico e capacidade de resposta rápida a ameaças sofisticadas.
