Un grup de spionaj cibernetic asociat Chinei a operat timp de peste un an în rețelele medicale, universitare și militare din America de Nord, furând informații sensibile din emailuri de cercetare și apărare. Campania a fost detaliată de Google Threat Intelligence Group, care atribuie cu un nivel ridicat de certitudine acestui atac unui grup urmărit sub numele UNC6508.
Cum au intrat în rețelele vizate
Punctul de intrare al atacului a fost platforma REDCap, folosită frecvent de spitale, universități și centre de cercetare pentru gestionarea datelor din studii. Google a identificat compromisuri pe servere REDCap expuse online, însă metoda exactă de intrare nu a fost publicată. Grupul urmărit a manifestat interes pentru versiuni de software mai vechi, vulnerabile.
După aproximativ trei luni de la compromiterea inițială, atacatorii au instalat malware personalizat numit INFINITERED. Acesta a modificat fișierele platformei, permițând persistarea sa chiar și după actualizări, făcând dificilă eliminarea completa a programului malițios.
INFINITERED avea capabilități multiple: fura nume de utilizator și parole din pagina de autentificare, stoca datele în tabele criptate locale și funcționa ca backdoor, recepționând comenzi prin cookie-uri HTTP. Activitatea activă a campaniei a început în septembrie 2023 și a continuat până în noiembrie 2025.
Odată ce au preluat controlul pe server, atacatorii au realizat recunoaștere internă, au căutat credențiale suplimentare și au accesat baze de date și conturi de servicii. Ulterior, au avansat în rețeaua internă pentru a obține conturi de administrator de domeniu.
Utilizarea funcțiilor legitime ale Google Workspace
În loc să instaleze instrumente de exfiltrare evidentă, atacatorii au folosit reguli de conformitate a conținutului din Google Workspace. Prin crearea unui mecanism legitim de scanare după termeni sensibili, aceștia au automatizat copierea mesajelor către o adresă Gmail controlată de ei, ulterior dezactivată de Google.
Această metodă nu seamănă cu un atac clasic de furt de date, fiind dificil de detectat. Nu există trafic neobișnuit, malware vizibil sau instrumente externe de exfiltrare. În esență, o funcție destinat sistemelor de conformitate și administrare a fost folosită pentru spionaj.
Termenii urmăriți de atacatori indică interes pentru teme precum politici geostrategice, strategii militare, echipamente de apărare, tehnologii avansate, inteligență artificială, vehicule fără pilot, cyber offensive și cercetare medicală. Unul dintre termenii remarcați a fost „chikungunya”, virus transmis de țânțari, relevant într-un context de focar din Guangdong, China, din 2025.
Semnal de alarmă pentru sistemele de cercetare
Campania evidențiază vulnerabilitățile instituțiilor de cercetare, mai ales când platformele vechi, aplicațiile expuse public și conturile administrative nu sunt monitorizate cu atenție. REDCap, utilizat în domenii sensibile precum studii clinice și sănătate publică, riscă să devină un punct slab dacă nu există o supraveghere riguroasă.
Organizațiile trebuie să auditeze funcțiile legitime ale platformelor cloud și să monitorizeze reguli de redirectare, BCC, conformitate de conținut și modificări de drepturi, pentru a preveni utilizarea abuzivă de către atacatori cu privilegii administrative.
Recomandările includ verificarea serverelor REDCap expuse, eliminarea versiuniilor vechi și auditing-ul regulilor de email din Google Workspace. Autentificarea multifactor rezistentă la phishing pentru conturile de administrator este, de asemenea, esențială pentru întărirea securității.
În final, atacul UNC6508 evidențiază o evoluție în spionajul cibernetic: furtul de date se poate face acum prin utilizarea funcțiilor oficiale ale serviciilor cloud, nu doar prin instrumente ascunse sau malware. Verificarea riguroasă a modului în care funcțiile și regulile din sisteme sunt configurate devine o prioritate în protejarea datelor sensibile.