كشف خبراء الأمن السيبراني عن ظهور برمجية خبيثة جديدة متطورة تعرف باسم NANOREMOTE، تستهدف أنظمة ويندوز وتقدم تهديدًا كبيرًا للمؤسسات من خلال استغلال البنية التحتية السحابية المشروعة لأغراض ضارة. ظهرت هذه البرمجية في أكتوبر 2025، وتستخدم واجهة برمجة تطبيقات Google Drive كقناة رئيسية للقيادة والتحكم (C2)، مما يسمح للمهاجمين بإخفاء أنشطتهم الضارة ضمن حركة المرور الشبكية العادية.
تُعد NANOREMOTE برنامج تجسس خبيث متكامل الميزات، مصمم لتمكين الوصول غير المصرح به والتحكم في الأنظمة المستهدفة. من خلال التخفي خلف خدمات موثوقة، تتجنب البرمجية آليات الكشف التقليدية القائمة على الشبكة، مما يسهل سرقة البيانات ونشر الحمولة الخبيثة بشكل متخفٍ.
استغلال Google Drive لتجنب الكشف
تعتمد NANOREMOTE بشكل أساسي على واجهة برمجة تطبيقات Google Drive كقناة للقيادة والتحكم (C2). تقوم البرمجية بالمصادقة باستخدام رموز OAuth 2.0 ثابتة، بما في ذلك معرفات العميل ورموز التحديث، المخزنة ضمن سلسلة تكوين مفصولة بواسطة الرمز “|”. يتم تأمين الاتصالات عبر HTTPS، ويتم زيادة التعتيم باستخدام ضغط Zlib وتشفير AES.
تعمل البرمجية من خلال آلية استقصاء، حيث تقوم بالتحقق من المهام المعلقة، مثل تحميل الملفات أو تنزيلها، والتي تم تعيينها من قبل المشغل. توضح عملية التنزيل من Google Drive كيف تبدو هذه الطلبات على الشبكة، مقلدة استدعاءات API المشروعة. لتسهيل هذه العمليات، تستخدم NANOREMOTE معالجات أوامر محددة.
على سبيل المثال، يكون المعالج 16 مسؤولاً عن وضع مهام التنزيل في قائمة الانتظار، بينما يقوم المعالج 17 بمهام التحميل. تقوم البرمجية بتحليل الاستجابات بتنسيق JSON الواردة من واجهة برمجة تطبيقات Google Drive لتنفيذ التعليمات. يتيح هذا الهيكل للمهاجمين التحكم الدقيق في الجهاز المصاب، وإدارة الملفات وتنفيذ الحمولة، مع التخفي داخل حركة المرور المشفرة.
تُظهر البرمجية تطوراً كبيراً في تقنيات التهرب، حيث تستخدم مكتبة Microsoft Detours لاعتراض استدعاءات إنهاء العمليات، مما يضمن استمراريتها ومقاومتها ضد الانهيارات. بالإضافة إلى ذلك، تستخدم البرمجية مُحمِّل PE مخصص مشتق من مكتبة libPeConv، مما يسمح لها بتحميل وتنفيذ وحدات تنفيذ إضافية مباشرة من القرص أو الذاكرة.
سلسلة العدوى والتحميل
تبدأ سلسلة العدوى عادةً بمكون تحميل يعرف باسم WMLOADER، والذي غالبًا ما يتنكر كملف تنفيذي أمني مشروع، مثل BDReinit.exe من Bitdefender، لتجنب الشكوك. عند التنفيذ، تقوم WMLOADER بفك تشفير ملف حمولة يدعى wmsetup.log باستخدام خوارزمية AES-CBC، ثم تشغل برمجية NANOREMOTE الخبيثة مباشرة في الذاكرة.
هذه الطريقة تقلل من بصمة البرمجية على القرص، مما يعقد التحليل الجنائي ويمنع توقيعات الكشف التقليدية القائمة على الملفات من العمل بفعالية. تشير أوجه التشابه الكبيرة في الكود بين NANOREMOTE وبرنامج FINALDRAFT المثبت سابقًا إلى سلالة تطوير مشتركة أو مؤلف واحد. هذا التماثل في الكود يوفر أدلة إضافية على مدى تطور التهديد.