Pesquisadores do Elastic Security Labs descobriram em outubro de 2025 uma sofisticada vulnerabilidade no Windows, batizada de “NANOREMOTE”. Por meio dela, um malware usa a API do Google Drive na versão instalada em PCs como canal principal de comunicação, tornando suas atividades maliciosas praticamente indistinguíveis do tráfego legítimo de internet.
O NANOREMOTE permite que atacantes controlem completamente computadores infectados, executem comandos remotos, roubem arquivos e instalem programas adicionais – tudo isso enquanto o tráfego de dados parece ser apenas uso normal do Google Drive. A técnica é tão eficaz que organizações não conseguem diferenciar a atividade maliciosa de um funcionário comum fazendo upload de documentos.
smart_display
Nossos vídeos em destaque
A descoberta foi publicada pelo pesquisador Daniel Stepanic em 11 de dezembro de 2025, e revela conexões com outras famílias de malware avançadas. O detlhe sugere uma operação de espionagem em larga escala conduzida por grupos especializados.
O que é e como funciona o NANOREMOTE?
Entrando em detalhes técnicos, o NANOREMOTE é um backdoor escrito em C++ para sistemas Windows de 64 bits. Em outras palavras, trata-se de uma “entrada secreta” em um sistema que permite alterações sem senha ou outro tipo de proteção. Criminosos usam essa brecha para invadir, roubar dados e instalar outros malwares.
Diferente de muitos malwares modernos, o NANOREMOTE não utiliza ofuscação de código. Seu código conta com 22 comandos distintos, que permitem aos atacantes coletar informações detalhadas do sistema – incluindo endereços IP, nome de usuário, versão do Windows, privilégios administrativos. Além disso, também possibilita executar comandos remotamente e gerenciar o sistema de arquivos completo.
Além disso, é possível fazer upload e download de arquivos usando o Google Drive, carregar programas maliciosos diretamente na memória sem deixar rastros no disco, pausar ou retomar transferências de arquivos e se autodestruir para apagar evidências.
NANOREMOTE usa Google Drive para roubar dados sem ser detectado
A característica mais perigosa do NANOREMOTE é o uso da API oficial do Google Drive para todas as operações de transferência de dados. Quando o malware precisa roubar documentos ou receber comandos dos atacantes, ele simplesmente faz upload ou download via Google Drive, usando autenticação OAuth 2.0 legítima.
Na prática, todo o tráfego é criptografado de ponta a ponta pelo próprio Google, firewalls corporativos veem apenas acesso normal ao Drive, ferramentas de prevenção contra perda de dados (DLP) não conseguem inspecionar o conteúdo e o comportamento é indistinguível de uso legítimo do serviço.
“Organizações não conseguem diferenciar entre uso legítimo do Google Drive e atividade maliciosa sem contexto adicional profundo”, alertam os pesquisadores do Elastic Security Labs.
O malware mantém configurações de múltiplos clientes OAuth com Client ID, Client Secret e Refresh Token. Como fallback, ele pode receber essas credenciais através de uma variável de ambiente chamada “NR_GOOGLE_ACCOUNTS”.
Como acontece a infecção por NANOREMOTEA infecção ocorre em duas fases principais usando componentes distintos. Primeiro, o ataque começa com o WMLOADER, que se disfarça como programa legítimo da Bitdefender (BDReinit.exe) com assinatura digital inválida.
Após execução, o carregador procura o arquivo “wmsetup.log” no mesmo diretório, descriptografa usando AES-CBC com chave fixa e carrega o backdoor diretamente na memória.
Uma vez ativo, o NANOREMOTE gera um identificador único (GUID) para rastrear cada vítima, cria pasta “Log” para registrar atividades, estabelece comunicação com servidor de comando e controle (C2) usando HTTP com dados criptografados em AES-CBC e comprimidos com Zlib, e começa a enviar informações do sistema para os criminosos.
O malware inclui até sistema de proteção contra crashes: quando ocorre erro inesperado, gera um “minidump” completo da memória – prática que sugere desenvolvimento profissional e iterativo.
NANOREMOTE executa programas maliciosos sem ser detectado por antivírus
O NANOREMOTE incorpora técnicas sofisticadas para executar programas maliciosos de forma invisível para ferramentas de segurança tradicionais. Dois dos 22 comandos são dedicados a carregar e executar programas Windows sem usar o carregador padrão do sistema operacional.
Para isso, os desenvolvedores utilizaram código de dois projetos open-source: libPeConv (biblioteca de Malgorzata Hasherezade) e Microsoft Detours (biblioteca oficial da Microsoft para hooking de funções). Com essa técnica, o malware elimina registros em ferramentas de monitoramento como Procmon, dribla antivírus que dependem de hooks em user-mode e permite receber executáveis codificados em Base64 do servidor C2 para executá-los sem tocar o disco.
A Microsoft Detours intercepta funções de término de processo (ExitProcess e FatalExit), garantindo que falhas em operações individuais não derrubem todo o backdoor.
NANOREMOTE tem conexão com malware FINALDRAFT
A análise do Elastic Security Labs revelou que o NANOREMOTE não é ameaça isolada, mas parte de família maior de ferramentas de espionagem. Os pesquisadores identificaram múltiplas semelhanças com outro malware chamado FINALDRAFT, documentado anteriormente em 2025.
Ambos usam a mesma sequência para gerar identificadores únicos (CoCreateGuid e hash FNV), têm código HTTP praticamente idêntico para comunicação com C2, são descriptografados por carregadores que buscam o mesmo arquivo, e a mesma chave AES descriptografa ambos.
Em teste reverso, pesquisadores baixaram amostra de “wmsetup.log” do VirusTotal (enviada das Filipinas em 3 de outubro de 2025). Ao usar WMLOADER para descriptografar, o resultado foi FINALDRAFT, não NANOREMOTE.
Os especialistas acreditam que o WMLOADER usa a mesma chave fixa porque faz parte do mesmo processo de desenvolvimento, permitindo trabalhar com vários payloads diferentes. Essa descoberta sugere operação coordenada de espionagem com múltiplas ferramentas desenvolvidas pela mesma equipe.
Quem são os alvos do NANOREMOTE
Embora o relatório não identifique vítimas específicas, a sofisticação técnica do NANOREMOTE e suas conexões com outras campanhas sugerem alvos de alto valor.
O nível de desenvolvimento indica foco em entidades governamentais e diplomáticas, empresas de defesa e tecnologia avançada, organizações de pesquisa com propriedade intelectual valiosa e infraestrutura crítica.
A única pista geográfica vem de amostra enviada ao VirusTotal das Filipinas em outubro de 2025, sugerindo possível atividade na região Ásia-Pacífico. Diversos aspectos apontam para grupo patrocinado por estado ou com recursos significativos: desenvolvimento profissional com bibliotecas estabelecidas, sistema robusto de logging, foco em espionagem (não ransomware), infraestrutura modular e operação contínua conectada a outras campanhas.
Como se proteger do malware NANOREMOTE
A natureza do NANOREMOTE torna a detecção desafiadora, mas não impossível. Durante testes em laboratório, a solução Elastic Defend identificou múltiplas atividades suspeitas. Para se proteger, os especialistas recomendam:
- Use ferramentas de segurança completas, que não dependem só de antivírus tradicional, mas conseguem perceber comportamentos estranhos no computador;
- Fique atento ao uso de serviços na nuvem (como Google Drive, OneDrive e Dropbox) e desconfie de acessos ou movimentações fora do normal;
- Procure sinais de atividades suspeitas com frequência, em vez de esperar que o problema apareça sozinho;
- Observe padrões diferentes do habitual, como programas ou acessos que não deveriam estar acontecendo.
Para saber mais sobre ameaças cibernéticas, acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.