Un grup de spionaj cibernetic, atribuit Chinei cu un nivel ridicat de încredere, a operat peste un an în rețele medicale, academice și militare din America de Nord, furând date sensibile din emailuri de cercetare și apărare. Campania a fost identificată și descrisă de Google Threat Intelligence Group, iar metoda utilizată a fost neobișnuită pentru scenariile de hacking.

Modalitatea de intrare în rețele

Atacatorii au intrat inițial în sistemele vizate prin compromiterea serverelor REDCap, o platformă web folosită frecvent în instituțiile de cercetare și sănătate pentru gestionarea datelor din studii. Conform Google, serverele REDCap expuse online au fost vulnerabile, dar detaliile despre metoda de acces nu au fost publicate. Cercetătorii au observat interesul grupului pentru versiuni mai vechi și vulnerabile ale platformei.

După trei luni de la compromiterea inițială, hackerii au instalat un malware personalizat, denumit INFINITERED, construit special pentru REDCap. Acesta a modificat fișierele platformei pentru ca codul malițios să persiste chiar și după actualizări, făcând dificilă eliminarea completă a virusului.

<...>

Caracteristicile malware-ului INFINITERED

Malware-ul a avut mai multe funcții, inclusiv furtul numelor de utilizator și a parolelor din paginile de autentificare. De asemenea, salva date în tabele locale, într-o formă criptată, și funcționa ca backdoor, primind comenzi prin cookie-uri HTTP. Activitatea cunoscută a campaniei s-a desfășurat între septembrie 2023 și noiembrie 2025.

Hackerii, odată ajunși pe server, au făcut recunoaștere internă și au obținut credențiale suplimentare. Au accesat baze de date și conturi de servicii, apoi au avansat în rețeaua internă pentru a obține un cont de administrator de domeniu. Ulterior, atacul a trecut la etapa de furt sistematic de emailuri.

Metoda subtilă de exfiltrare a datelor

Inedit pentru un atac de spionaj, infractorii au folosit funcțiile legitime ale Google Workspace pentru a extrage informații. În loc să instaleze un instrument de exfiltrare, aceștia au creat o regulă de conformitate pentru conținut, utilizată frecvent în administrarea sistemelor.

Această regulă urmărea aproape 150 de termeni-cheie, inclusiv politici geostrategice, tehnologii militare, echipamente de apărare, inteligență artificială și cercetare medicală. Atunci când un email conținea vreunul dintre acești termeni, sistemul trimitea automat o copie ascunsă către o adresă Gmail controlată de atacatori. Aceasta adresă a fost ulterior dezactivată de Google.

Se subliniază că această metodă nu lasă urme vizibile de trafic neobișnuit sau malware pe server. Funcția de conformitate devine un canal de exfiltrare perfect legitim în mâinile unui atacator cu drepturi administre.

Ținte și scopuri ale campaniei

Specialiștii au observat un interes accentuat pentru materiale legate de politici geostrategice, strategii militare, echipamente de apărare, tehnologii avansate, inteligență artificială, vehicule fără pilot, programe de cyber ofensiv și cercetare medicală. Printre termeni, a fost remarcat și „chikungunya”, un virus transmis de țânțari, în contextul unui focar în Guangdong, China, din 2025.

Semnal de alarmă și recomandări

Campania evidențiază vulnerabilități în instituțiile de cercetare, mai ales când platformele vechi, aplicațiile expuse și conturile administrative nu sunt monitorizate corespunzător. REDCap folosit pe scară largă în domenii sensibile necesită o atenție sporită.

Organizațiile trebuie să le auditeze nu doar pentru malware, ci și pentru funcțiile legitime ale platformelor cloud. Verificarea regulilor de redirecționare, content compliance și a modificărilor făcute de administratori devine esențială. Utilizarea autentificării multifactor puternice pentru conturile de administrator este recomandată pentru a preveni astfel de incidente.

<...>

Un factor critic evidențiat de atacul UNC6508 este că furtul de date nu mai depinde doar de instrumente ascunse, ci și de abuzul funcțiilor normale din servicii cloud. În situația în care o regulă de email poate copia destule informații pentru a compromite securitatea, nu este suficientă doar actualizarea softului sau patch-urile de securitate. Verificarea acestor funcții legitime devine o măsură sigură de protecție.