جوجل درايف: الطريق الخفي لهجمات NANOREMOTE السيبرانية المتسللة

باب خلفي متطور يستغل بنية جوجل الموثوقة لتهريب البيانات بهدوء وتجنب الاكتشاف على أنظمة ويندوز حول العالم.

كان يختبئ في وضح النهار، يسلك نفس الطرق الرقمية التي تسلكها ملايين الملفات الشرعية: لقد وجد NANOREMOTE، جيل جديد من برمجيات ويندوز الخبيثة، طريقة لتحويل جوجل درايف - الخدمة التي يثق بها الأفراد والشركات على حد سواء - إلى مركز قيادة وتحكم سري. ومع تزايد إبداع المهاجمين، يبقى المدافعون في سباق مستمر لرصد الأنشطة الإجرامية المتخفية ضمن حركة المرور الشبكية اليومية.

حقائق سريعة

NANOREMOTE هو باب خلفي لأنظمة ويندوز يستخدم واجهة Google Drive API للقيادة والتحكم (C2).
مرتبط بمجموعة التهديد الصينية المشتبه بها REF7707، النشطة منذ أوائل 2023 على الأقل.
يشترك في الشيفرة مع برمجية FINALDRAFT الخبيثة، التي تستخدم Microsoft Graph API للقيادة والتحكم.
طريقة العدوى غير واضحة لكنها تتضمن محملاً يتظاهر بأنه برنامج Bitdefender.
القدرات تشمل سرقة الملفات، تجهيز الحمولات، تنفيذ الأوامر، ونقل البيانات - وكل ذلك مخفي تقريباً ضمن حركة جوجل درايف.

تشريح الباب الخلفي الحديث

تكمن براعة NANOREMOTE في قدرته على الاندماج ضمن الاتصالات الروتينية. من خلال استغلال Google Drive API، يمكن للبرمجية الخبيثة نقل البيانات المسروقة والتعليمات بين المهاجم والضحية، وكل ذلك تحت ستار حركة تخزين سحابي طبيعية. هذا يجعل من الصعب جداً على المدافعين التمييز بين النشاط الخبيث والعمليات التجارية البريئة.

وفقاً لمختبرات Elastic Security، فإن بنية البرمجية الخبيثة تستعير الكثير من FINALDRAFT (المعروفة أيضاً باسم Squidoor)، وهو باب خلفي متقدم آخر يستغل بنية مايكروسوفت السحابية لأغراض مماثلة. ويُعتقد أن كليهما من أصل مجموعة REF7707، وهي مجموعة تهديد مرتبطة باختراقات بارزة استهدفت قطاعات الحكومة والدفاع والاتصالات والتعليم والطيران في جنوب شرق آسيا وأمريكا الجنوبية. وقد امتد نشاط المجموعة إلى مزود تكنولوجيا معلومات روسي في عام 2025، مما يدل على انتشار عالمي واهتمام بأهداف عالية القيمة.

ما يميز NANOREMOTE هو نظام إدارة المهام القوي: يمكنه جدولة أو إيقاف أو استئناف أو إلغاء نقل الملفات، بل ويمكنه توليد رموز تحديث للحفاظ على الوصول الدائم. يتم تسليم البرمجية عبر محمل - WMLOADER - يتنكر كمعالج أعطال Bitdefender، ويفك تشفير الباب الخلفي ويشغله في الذاكرة. بمجرد تفعيله، يتواصل باستخدام بيانات JSON مشفرة بـ AES ومضغوطة بـ Zlib عبر بروتوكول HTTP، مع سلسلة وكيل مستخدم مميزة “NanoRemote/1.0”، ويمكنه معالجة 22 نوعاً مختلفاً من الأوامر، بما في ذلك الاستطلاع، عمليات الملفات، وإنهاء نفسه ذاتياً.

كشف الباحثون عن دليل لافت: كل من NANOREMOTE وFINALDRAFT يستخدمان نفس مفتاح التشفير الثابت المكون من 16 بايت، مما يشير إلى بيئة تطوير أو عملية بناء مشتركة. كما أن قطعة برمجية تم رفعها من الفلبين في أكتوبر 2025 تربط العائلتين معاً، في إشارة إلى مجموعة أدوات منسقة ومتطورة مصممة للتخفي والمرونة.

الخلاصة

يمثل NANOREMOTE تذكيراً صارخاً بأنه مع تزايد اعتمادنا على المنصات السحابية، يزداد أيضاً جاذبيتها لمجرمي الإنترنت. من خلال اختطاف البنية التحتية الموثوقة، يرفع الخصوم سقف التحدي أمام المدافعين، ويطمسون الخط الفاصل بين النشاط الشرعي والخبيث. أصبحت اليقظة، والكشف المتقدم، وفهم أعمق للتهديدات السحابية أموراً أكثر أهمية من أي وقت مضى.