Nuvole di Inganno: Come gli Hacker Trasformano Google Drive in un Centro di Comando Cibernetico

Immagina questo scenario: i file della tua azienda sono al sicuro nel cloud, le luci della sicurezza degli endpoint sono tutte verdi e il lavoro procede senza intoppi. Ma dietro le quinte, gli aggressori stanno dirottando proprio quei servizi cloud affidabili per controllare computer infetti, sottrarre dati e sfuggire anche alle difese più attente. Benvenuto nel mondo di NANOREMOTE: una nuova generazione di malware che trasforma Google Drive nel suo centro di comando, lasciando i team di sicurezza a rincorrere.

Anatomia di una Backdoor Alimentata dal Cloud

Scoperto da Elastic Security Labs nell’ottobre 2025, NANOREMOTE è molto più di un semplice malware. Sviluppato in C++ per Windows, è una backdoor completa in grado di eseguire comandi, rubare dati e consegnare ulteriori payload - il tutto mimetizzandosi tra il traffico cloud legittimo. Il loader del malware, chiamato WMLOADER, si presenta come un eseguibile Bitdefender, completo di una firma digitale non valida per eludere controlli superficiali.

Una volta eseguito, WMLOADER decifra e carica il codice malevolo direttamente in memoria, aggirando i rilevamenti basati su disco. Il payload finale - NANOREMOTE - viene quindi attivato, ereditando il DNA operativo da precedenti strumenti di spionaggio utilizzati nella campagna FINALDRAFT, come dimostrato da chiavi di cifratura e struttura del codice condivise.

Ciò che distingue NANOREMOTE è l’uso astuto delle API di Google Drive. Autenticandosi tramite OAuth 2.0 e interagendo con gli endpoint dei file di Google, il malware può caricare dati rubati o ricevere nuove istruzioni sotto le sembianze di normali attività di archiviazione cloud. Il suo traffico appare legittimo, rendendo molto meno efficaci i tradizionali strumenti di monitoraggio di rete.

Dal punto di vista tecnico, NANOREMOTE è un vero multitasking. Vanta 22 gestori di comando per tutto, dalla ricognizione alla manipolazione di file e directory. Il suo sistema di trasferimento file è robusto, supportando accodamento, pausa, ripresa e annullamento - funzionalità più comuni nei software aziendali che negli strumenti di hacking. Per la furtività, mappa ed esegue manualmente i file in memoria, aggancia funzioni critiche di Windows per evitare lo spegnimento e registra la propria attività per debug e resilienza.

Il team di Elastic ha mappato i comportamenti del malware alle tecniche MITRE ATT&CK riconosciute, evidenziando la sua abilità nel camuffarsi, esfiltrare dati tramite servizi web ed eseguire comandi di sistema. Fortunatamente, i difensori stanno reagendo: i meccanismi di rilevamento di Elastic hanno segnalato le connessioni web sospette e le iniezioni di shellcode del malware, e le nuove regole YARA stanno aiutando i team di sicurezza di tutto il mondo a individuare segni di infezione.

Conclusione: Il Nuovo Volto dello Spionaggio Cibernetico Invisibile

Poiché gli aggressori abusano sempre più spesso di piattaforme cloud affidabili per scopi malevoli, NANOREMOTE rappresenta un campanello d’allarme per i difensori ovunque. In un’epoca in cui persino il tuo spazio di archiviazione cloud può diventare il parco giochi di un hacker, la vigilanza - e il rilevamento multilivello - sono più cruciali che mai. Il confine tra attività legittima e malevola si fa sempre più sottile, e il manuale dei difensori deve evolversi per tenere il passo.