0831 1811268

NANOREMOTE il malware che si nasconde dentro Google Drive

· news

Sfruttando le interfacce di programmazione di Google per inviare e ricevere comandi, il software si mimetizza nel traffico legittimo

NANOREMOTE il malware che si nasconde dentro Google Drive
[In pillole] La sintesi per chi va di fretta:

Un nuovo e sofisticato malware per Windows, chiamato NANOREMOTE, utilizza Google Drive per comunicare con i suoi controllori e rubare dati, mascherando il suo traffico da attività legittima. Questa backdoor, quasi invisibile ai sistemi di sicurezza, è collegata al gruppo di hacker cinesi REF7707 e viene usata in operazioni di spionaggio contro organizzazioni strategiche a livello globale.

Il nuovo malware che si nasconde dentro Google Drive

È stato scoperto un nuovo e particolarmente sofisticato software malevolo per Windows, chiamato NANOREMOTE. La sua caratteristica più significativa, e anche quella che lo rende così difficile da individuare, è che non utilizza server sconosciuti e sospetti per comunicare con chi lo controlla, ma si appoggia a un servizio che milioni di persone e aziende usano ogni giorno: Google Drive.

Sfruttando le interfacce di programmazione (API) messe a disposizione da Google, il malware riesce a inviare e ricevere comandi e a esfiltrare dati apparendo, agli occhi dei sistemi di sicurezza, come un normale programma che sta salvando o scaricando file dal cloud. Questa tecnica permette a chi lo manovra di agire con grande discrezione, conducendo operazioni di spionaggio e furto di informazioni per lunghi periodi senza essere scoperto.

La scoperta, come descritto nel dettaglio da Elastic Security Labs, ha rivelato che NANOREMOTE condivide porzioni di codice e infrastruttura con un altro malware già noto, chiamato FINALDRAFT. Questo legame suggerisce che entrambi gli strumenti facciano parte dello stesso arsenale digitale, riconducibile a un gruppo di hacker sospettato di operare per conto del governo cinese.

L’abuso di un servizio così diffuso e considerato affidabile come Google Drive solleva interrogativi complessi sulla sicurezza delle infrastrutture digitali.

Se il traffico generato da un malware è quasi indistinguibile da quello di un’applicazione legittima, le tradizionali difese informatiche, basate sul blocco di connessioni verso indirizzi web malevoli, perdono gran parte della loro efficacia.

La fiducia che le aziende ripongono in servizi cloud forniti da multinazionali come Google si trasforma così in una potenziale vulnerabilità, un canale nascosto che può essere sfruttato per aggirare le protezioni più comuni.

Comprendere come questo malware riesca a mimetizzarsi così bene richiede di analizzare da vicino la sua architettura interna.

IA

Un traffico dati quasi invisibile

NANOREMOTE è ciò che in gergo tecnico viene definito una backdoor, ovvero una “porta di servizio” che consente un accesso non autorizzato e persistente a un computer. Una volta installato, il suo compito principale è mettersi in contatto con il server di “Comando e Controllo” (C2) per ricevere istruzioni. La maggior parte dei malware, per questa comunicazione, si affida a server dedicati, che però possono essere identificati e bloccati.

La strategia di NANOREMOTE è invece molto più sottile. Utilizza l’API di Google Drive, un’interfaccia che permette ai programmi di interagire con il servizio di cloud storage in modo automatizzato. Attraverso questa API, il malware può caricare file con i dati rubati e scaricare file con nuovi comandi, il tutto mascherato da normali operazioni di salvataggio su cloud.

Il software, scritto in linguaggio C++, è dotato di ben 22 comandi diversi, che offrono a chi lo controlla un potere quasi totale sul sistema infetto. Può raccogliere informazioni dettagliate, eseguire qualsiasi programma, manipolare file e cartelle, e persino gestire un sistema di caricamento e scaricamento di file da Google Drive con funzioni avanzate per mettere in pausa, riprendere o annullare i trasferimenti.

Tutte le comunicazioni, prima di essere inviate, vengono compresse e cifrate con l’algoritmo AES-CBC, un sistema robusto che impedisce di ispezionare il contenuto dei dati. Questo significa che anche se un sistema di sicurezza analizzasse il traffico di rete, vedrebbe solo dati crittografati diretti verso i server legittimi di Google, un’attività del tutto comune in qualsiasi rete aziendale.

– Leggi anche: Falla di sicurezza zero day in Google Chrome usata per attacchi informatici

La scelta di usare uno strumento così onnipresente pone una domanda fondamentale: fino a che punto i fornitori di servizi cloud sono responsabili di questo tipo di abuso?

E quali strumenti possono mettere in campo per distinguere un uso legittimo delle loro API da uno malevolo, senza compromettere la privacy degli utenti?

La risposta non è semplice, ma la questione diventa ancora più urgente se si considera chi c’è dietro a operazioni di questo tipo.

L’ombra della Cina e un arsenale condiviso

Le analisi tecniche hanno collegato NANOREMOTE a un gruppo di hacker noto come REF7707, che si ritiene sia legato alla Cina e attivo almeno dal marzo del 2023. Questo gruppo ha preso di mira organizzazioni di alto profilo in settori strategici come governi, difesa, telecomunicazioni e aviazione, principalmente nel Sud-est asiatico e in Sud America.

L’obiettivo sembra essere chiaramente lo spionaggio industriale e governativo, un’attività che richiede strumenti capaci di rimanere nascosti per molto tempo.

La prova più convincente del legame tra NANOREMOTE e questo gruppo è la sua somiglianza con FINALDRAFT, un altro malware attribuito allo stesso gruppo che, in modo analogo, sfrutta un altro servizio cloud, Microsoft Graph, per le sue comunicazioni.

I due malware non solo condividono la filosofia operativa, ma anche dettagli tecnici specifici, come la stessa chiave di crittografia AES utilizzata per proteggere le comunicazioni. Secondo i ricercatori di Elastic, questo indica con alta probabilità che provengano da un ambiente di sviluppo condiviso, se non addirittura dagli stessi programmatori.

Si tratta quindi non di strumenti isolati, ma di componenti di un arsenale digitale in continua evoluzione, adattato per sfruttare le infrastrutture su cui si basa l’economia digitale globale.

Le attività di questo gruppo sono state documentate anche da altre importanti società di sicurezza informatica; ad esempio, Palo Alto Networks Unit 42 ne ha tracciato le campagne contro bersagli di alto valore, mentre Symantec ha attribuito al gruppo una lunga intrusione, durata cinque mesi, ai danni di un fornitore di servizi IT russo.

Avere un quadro così chiaro dell’avversario e dei suoi obiettivi è fondamentale, ma resta da capire come, nel concreto, uno strumento tanto sofisticato riesca a penetrare le difese iniziali di un sistema per iniziare il suo lavoro silenzioso.

Un’infezione che non lascia tracce

L’attacco inizia con un componente chiamato WMLOADER, un software “caricatore” il cui unico scopo è installare ed eseguire la backdoor NANOREMOTE in modo elusivo. Per non destare sospetti, WMLOADER si maschera da un componente legittimo di un noto antivirus, Bitdefender, arrivando a imitarne il nome del file (“BDReinit.exe”).

Una volta in esecuzione, questo caricatore decifra ed esegue il codice malevolo direttamente nella memoria RAM del computer.

Questa tecnica, conosciuta come esecuzione in-memory o fileless, è particolarmente efficace perché non scrive file permanenti sull’hard disk, rendendo molto più difficile per gli antivirus tradizionali e per gli analisti forensi trovare tracce dell’infezione.

Il processo è un esempio di come gli attacchi informatici moderni siano diventati complessi e stratificati. Non si tratta più di un singolo virus, ma di una catena di componenti, ciascuno con un compito specifico volto a eludere un diverso tipo di difesa.

NANOREMOTE, una volta attivo, impiega ulteriori accorgimenti per garantirsi la persistenza e resistere ai tentativi di rimozione, ad esempio agganciandosi a funzioni vitali del sistema operativo per impedire la propria chiusura. L’uso di librerie di codice open-source, come Microsoft Detours, complica ulteriormente l’individuazione, poiché queste sono utilizzate anche da migliaia di sviluppatori per scopi del tutto legittimi.

L’emergere di malware come NANOREMOTE segna un’evoluzione significativa nella minaccia informatica. Non si tratta più solo di difendersi da attacchi provenienti dall’esterno, ma di riconoscere un’attività malevola che si nasconde all’interno del traffico considerato normale e sicuro.

Questo sposta l’onere della difesa verso un’analisi più comportamentale e contestuale, costringendo le organizzazioni a monitorare non solo da dove proviene il traffico di rete, ma anche come i servizi cloud, apparentemente innocui, vengono utilizzati dai programmi in esecuzione sui propri sistemi.

Un simile livello di sorveglianza, umanamente impossibile da sostenere su larga scala, renderebbe quasi obbligatoria l’integrazione di soluzioni di machine learning, uniche tecnologie capaci di apprendere e segnalare in tempo reale le deviazioni dalla “normalità” operativa.

Dalle parole al codice?

Informarsi è sempre il primo passo ma mettere in pratica ciò che si impara è quello che cambia davvero il gioco. Come software house crediamo che la tecnologia serva quando diventa concreta, funzionante, reale. Se pensi anche tu che sia il momento di passare dall’idea all’azione, unisciti a noi.

Parlaci del tuo progetto

[Consigliati]

Falla di sicurezza zero day in Google Chrome usata per attacchi informatici

Falla di sicurezza zero day in Google Chrome usata per attacchi informatici

Google ha rilasciato un aggiornamento d'emergenza per Chrome per risolvere una vulnerabilità zero-day, l'ottava del 2025. Identificata come CVE-2025-14174 e di gravità alta, la falla è già attivamente sfruttata da aggressori. Il problema, localizzato nel componente ANGLE, può permettere l'esecuzione di codice malevolo, rendendo cruciale l'aggiornamento immediato del browser per tutti gli utenti.

Flexiv lancia FMR 300 la base mobile che libera i robot dai bulloni

Flexiv lancia FMR 300 la base mobile che libera i robot dai bulloni

Flexiv ha presentato l'FMR 300, una base mobile autonoma capace di trasportare bracci robotici e carichi fino a 270 kg. La tecnologia utilizza sensori di forza invece della visione artificiale per compensare gli errori di posizionamento, permettendo lavorazioni precise in stazioni multiple. Questa soluzione mira a ottimizzare i flussi produttivi riducendo la dipendenza da macchinari fissi.

OpenAI dichiara Codice Rosso e cambia i piani per sfidare Google

OpenAI dichiara Codice Rosso e cambia i piani per sfidare Google

Sam Altman ha dichiarato un code red in OpenAI per rispondere alla rapida ascesa di Google Gemini. L azienda ha congelato progetti secondari e pubblicità per concentrarsi sul rendere ChatGPT un assistente personale indispensabile. L obiettivo strategico è creare un abitudine di utilizzo quotidiana negli utenti e difendere la propria posizione di mercato minacciata dal rivale di Mountain View.

[Altre storie]

DeepSeek rovescia il duopolio dell’IA: efficienza batte potenza bruta

DeepSeek ha sconvolto il duopolio dell'IA con i suoi modelli V3.2 e Speciale, che eguagliano o superano GPT-5 e Gemini 3.0 Pro. L'azienda cinese dimostra che l'efficienza algoritmica, non solo la potenza bruta, è la chiave. Questo ha generato incertezza a Wall Street, mettendo in discussione i massicci investimenti infrastrutturali e aprendo nuove prospettive per l'accesso globale all'IA avanzata.

Xiaomi e i robot umanoidi: il piano quinquennale per le fabbriche del futuro

Il fondatore di Xiaomi, Lei Jun, ha annunciato l'impiego su larga scala di robot umanoidi nelle fabbriche entro i prossimi cinque anni. Questo piano ambizioso mira a trasformare la manifattura con l'intelligenza artificiale incarnata, posizionando Xiaomi all'avanguardia. Nonostante le sfide del settore robotico cinese, l'azienda scommette sulla rapida maturazione tecnologica per un futuro più automatizzato e versatile.

La corsa dell’Europa all’Intelligenza Artificiale Sovrana: una missione complicata

L'Europa sta intraprendendo una corsa strategica per sviluppare un'intelligenza artificiale sovrana, considerandola cruciale per l'autonomia economica e geopolitica. Nonostante ambiziosi investimenti in infrastrutture nazionali, il continente affronta sfide complesse come la frammentazione, la dipendenza dai semiconduttori, la fuga dei cervelli e il costo dell'energia, interrogandosi sulla vera portata di questa sovranità.

Il manifatturiero italiano tra stabilità e incertezze: crescita modesta nel 2025, ma addio anticipato a Transizione 5.0

Il manifatturiero italiano si avviava verso una modesta crescita nel 2025, ma l'improvvisa chiusura anticipata del programma Transizione 5.0 blocca migliaia di piani d'investimento. La decisione, dovuta a una drastica riduzione dei fondi, crea profonda incertezza sulle politiche industriali e la fiducia delle imprese, mettendo a rischio la modernizzazione del settore proprio quando più necessaria.

Albiriox: il Malware-as-a-Service che trasforma il crimine digitale in un abbonamento

Albiriox, un nuovo malware per Android, è emerso come servizio in abbonamento, trasformando il crimine informatico in un settore. Venduto a 650-720 dollari al mese, permette il controllo remoto dei dispositivi, aggirando le sicurezze bancarie tramite VNC e abusi dei servizi di accessibilità. Questo 'Malware-as-a-Service' (MaaS) punta a oltre 400 app finanziarie, democratizzando le frodi e rivelando la crescente sofisticazione del mercato nero digitale. La sua diffusione si basa sull'ingegneria sociale.

Gartner: gli agenti di intelligenza artificiale gestiranno il 90 per cento degli acquisti B2B entro il 2028

Secondo Gartner, entro il 2028 gli agenti di intelligenza artificiale intermediaranno il 90% degli acquisti B2B, per oltre 15 trilioni di dollari. Questa previsione delinea una trasformazione radicale del commercio aziendale, spostando il potere decisionale dagli umani agli algoritmi. Sebbene prometta efficienza, solleva interrogativi su impatto occupazionale, reale produttività e sfide regolamentari, richiedendo alle aziende un'integrazione strategica.

Agenti AI: perché Amazon Web Services sta plasmando il mercato da 50 miliardi di dollari

Amazon Web Services (AWS) sta rivoluzionando il settore degli agenti AI, investendo massicciamente e posizionando la sua piattaforma come marketplace centrale. Il mercato globale è proiettato a superare i 50 miliardi di dollari entro il 2030, con AWS che mira a plasmarne l'adozione. Questi sistemi autonomi gestiscono compiti complessi, ma la loro rapida diffusione solleva interrogativi etici e di controllo.

L’automazione industriale accelera in Nord America: ordini robot record nel 2025, ma la crescita è complessa

Nel terzo trimestre 2025, il Nord America ha registrato un'impennata negli ordini di robot industriali: 8.806 unità (+12%) per 574 milioni di dollari (+17%). L'Associazione A3 evidenzia una rinnovata fiducia nell'automazione, spinta da settori non automobilistici e grandi produttori. La crescita è complessa, influenzata da carenza di manodopera e reshoring, con i cobot che ridefiniscono il rapporto uomo-macchina.

Teniamoci in [contatto]

Inserisci i dati richiesti per poter ricevere il nostro company profile e tutte le informazioni sulla nostra azienda.



    info@algomera.it
    (+39) 0831 1811268
    Brindisi

    Via Raffaele Rubini 12, Brindisi

    Milano

    Via Luigi Russolo 9, Milano

    Rovigo

    Via Maestri del Lavoro 7E, Rovigo

    Prime Agency Srl

    È un marchio registrato e di proprietà della PRIME AGENCY SRL | P.IVA e CF: 02607220742

    Copyright © 2026 Algòmera è un marchio di propietà della Prime Agency srl.

    LeFonti Awards
    Partner 24Ore
    AssoSoftware
    Google Partner
    BACK TO TOP