为了避免行踪被发现，黑客滥用合法服务的API作为C2通信的通道，这种情况越来越常见，有安全公司发现了新的后门程序并引起外界关注。

数据搜索与分析公司Elastic旗下的安全实验室指出，他们在今年10月通过遥测技术发现了一款新的Windows后门程序NanoRemote。该恶意软件疑似来自代号为Ref7707、CL-STA-0049、Earth Alux和Jewelbug的中国黑客组织，且与该组织此前使用的恶意程序FinalDraft具有相似特征。NanoRemote引起Elastic关注的原因在于，黑客利用Google Drive的API在受害计算机与控制服务器之间来回传输数据，使得有效载荷和窃取的资料可临时存储在难以被发现的位置。在文件传输方面，NanoRemote内置了任务管理系统，不仅能调度上传和下载任务，还能暂停或恢复中断的传输，并能自动生成所需的访问令牌（Token）。

针对Ref7707传播NanoRemote的攻击流程，主要工具包括恶意程序加载器WMLoader和NanoRemote，但Elastic并未说明攻击者如何最初入侵受害计算机。

黑客将WMLoader伪装成Bitdefender杀毒软件的组件BDReinit.exe，并使用无效的数字签名来掩盖其真实意图。一旦运行，WMLoader会调用大量Windows系统功能，目的是准备处理嵌入在特定文件中的Shell Code。该Shell Code会在存放WMLoader的文件夹中查找特定文件，然后使用16字节的ASCII密钥，通过AES-CBC算法解密NanoRemote，并在内存中执行。Elastic提到，黑客除了将WMLoader伪装成Bitdefender组件外，也曾伪装成趋势科技的文件。

NanoRemote使用C++编写，是一个功能完整的后门程序，攻击者可利用其进行侦察、执行文件和下发指令。该恶意程序初始化时，会为受害计算机生成一个GUID用于管理，并启动22个命令处理器。值得一提的是，Ref7707整合了开源工具Microsoft Detours和libPeConv，用于拦截API调用和加载PE文件。

Ref7707并非首次滥用合法API进行恶意活动。去年11月，该组织曾针对南美国家外交部发起攻击，传播了恶意软件FinalDraft、GuidLoader和PathLoader，其C2通信通道同样是通过滥用微软的Graph API实现的。