كشف باحثون في الأمن السيبراني عن برمجية تجسس جديدة تستهدف أنظمة ويندوز باسم NANOREMOTE، وهي باب خلفي متكامل يعتمد على Google Drive API كقناة للتحكم والسيطرة (C2)، ما يمنحه قدرة عالية على التخفي داخل بيئات المؤسسات. ووفقًا لتقرير صادر عن Elastic Security Labs، تُظهر البرمجية تشابهًا كبيرًا في الشيفرة مع برمجية أخرى تُعرف باسم FINALDRAFT (أو Squidoor)، والتي تعتمد على Microsoft Graph API للتواصل، وتنسب إلى مجموعة تهديد تُعرف باسم REF7707.
ويقول الباحث دانيال ستيبانيك إن NANOREMOTE تعتمد بشكل أساسي على نقل البيانات بين جهاز الضحية وخوادم المهاجم عبر Google Drive، مما يجعل اكتشافها أكثر صعوبة، خصوصًا أنها تستخدم نظامًا متقدمًا لإدارة المهام الخاصة بنقل الملفات، بما في ذلك الإيقاف المؤقت والاستئناف والإلغاء وتوليد رموز التحديث.
مجموعة REF7707: نشاط تجسسي واسع في آسيا وأمريكا الجنوبية
تشير تحليلات Palo Alto Networks Unit 42 إلى أن REF7707 — وهي مجموعة يُعتقد أنها مرتبطة بجهات صينية — استهدفت قطاعات حكومية ودفاعية وتعليمية واتصالات وطيران في جنوب شرق آسيا وأمريكا الجنوبية منذ عام 2023. كما رصدت Symantec في أكتوبر 2025 هجومًا استمر خمسة أشهر ضد مزود خدمات تقنية روسي نُسب إلى المجموعة نفسها.
سلسلة هجوم متقدمة تبدأ بـ WMLOADER وتنتهي بزرع NANOREMOTE
لم يُحدد بعد أسلوب الوصول الأولي المستخدم لنشر NANOREMOTE، لكن الباحثين رصدوا سلسلة هجوم تبدأ ببرنامج تحميل يُعرف باسم WMLOADER، والذي ينتحل مظهر مكوّن تابع لـ Bitdefender باسم BDReinit.exe. يقوم هذا المحمل بفك تشفير شيفرة Shellcode مسؤولة عن تشغيل الباب الخلفي.
وتوضح التحليلات أن NANOREMOTE مكتوبة بلغة ++C، وتتمتع بقدرات واسعة تشمل:
- جمع معلومات النظام
- تنفيذ أوامر وملفات
- نقل الملفات من وإلى الجهاز
- استخدام Google Drive لتخزين الحمولات وسرقة البيانات
- التواصل عبر عنوان IP ثابت غير قابل للتوجيه باستخدام HTTP
ويتم إرسال البيانات عبر POST بعد ضغطها باستخدام Zlib وتشفيرها بخوارزمية AES‑CBC باستخدام مفتاح ثابت بطول 16 بايت.
22 وظيفة تجسسية وتداخل واضح مع FINALDRAFT
تعتمد البرمجية على 22 معالج أوامر يتيح لها تنفيذ عمليات واسعة تشمل إدارة الملفات والمجلدات، تشغيل ملفات PE، مسح الذاكرة المؤقتة، التحكم في عمليات الرفع والتنزيل، وإنهاء نفسها عند الحاجة.
كما اكتشف الباحثون ملفًا باسم wmsetup.log تم رفعه من الفلبين إلى VirusTotal في أكتوبر 2025، ويمكن فك تشفيره باستخدام المفتاح نفسه المستخدم في WMLOADER، ليكشف عن نسخة من FINALDRAFT. هذا التطابق في المفاتيح يشير إلى أن البرمجيتين تنتميان إلى بيئة تطوير واحدة أو قاعدة شيفرة مشتركة.
ويُرجّح الباحثون أن استخدام المفتاح الثابت يعود إلى عملية بناء موحدة تسمح لـ WMLOADER بالتعامل مع حمولات متعددة، ما يعزز فرضية أن NANOREMOTE وFINALDRAFT نتاج جهة تهديد واحدة.
