Hackerii chinezi au spionat prin Google Workspace, furând emailuri din cercetare și apărare

Un grup de spionaj cibernetic asociat Chinei a reușit să stea ascuns mai bine de un an în rețele medicale, academice și militare din America de Nord, furând date sensibile din emailuri de cercetare și apărare. Campania a fost detaliată de Google Threat Intelligence Group, care atribuie atacul, cu un nivel ridicat de încredere, unui grup urmărit sub numele UNC6508.

Metoda ingenioasă de spionaj

Atacul este important nu doar prin țintele vizate, ci mai ales prin metoda folosită. Hackerii nu s-au bazat doar pe malware clasic sau pe transferuri evidente de fișiere, ci au abuzat o funcție legitimă din Google Workspace: regulile de conformitate pentru conținut. Practic, după ce au obținut acces de administrator, au făcut ca sistemul de email al victimelor să le trimită automat copii ale mesajelor care conțineau anumiți termeni-cheie.

Punctul de intrare: REDCap

Punctul de intrare a fost REDCap, o platformă web folosită frecvent de spitale, universități și instituții de cercetare pentru colectarea și gestionarea datelor din studii. Potrivit Google, atacatorii au compromis servere REDCap expuse online, însă metoda exactă de acces inițial nu a fost stabilită public. Nu a fost indicat un CVE anume, dar cercetătorii au observat interesul grupului pentru versiuni mai vechi și vulnerabile.

Malware-ul INFINITERED

După aproximativ trei luni de la compromiterea inițială, atacatorii au instalat un malware personalizat, numit de Google INFINITERED. Acesta a fost construit special pentru REDCap și a modificat fișierele platformei astfel încât codul malițios să persiste chiar și după actualizări. Cu alte cuvinte, un simplu upgrade nu era suficient pentru a curăța complet sistemul.

INFINITERED avea mai multe funcții. Fura nume de utilizator și parole din pagina de autentificare, salva datele în tabele locale, într-o formă criptată, și funcționa ca backdoor, primind comenzi prin cookie-uri HTTP. Activitatea cunoscută a campaniei a început în septembrie 2023 și a continuat până în noiembrie 2025.

Deplasarea laterală și furtul de emailuri

Odată ajunși pe server, hackerii au făcut recunoaștere internă, au căutat credențiale suplimentare, au obținut date de acces la baze de date și conturi de servicii, apoi s-au deplasat în rețeaua internă până la obținerea unui cont de administrator de domeniu. Din acel moment, atacul a trecut la etapa cea mai discretă: furtul sistematic de emailuri.

În loc să instaleze un instrument evident de exfiltrare pe serverul de email, atacatorii au folosit chiar funcțiile administrative ale Google Workspace. Au creat o regulă de content compliance, adică un mecanism legitim prin care organizațiile pot scana emailurile după termeni sensibili și pot lua măsuri automate.

Regula „Patroit” și cuvintele-cheie vizate

Regula creată de UNC6508, denumită greșit „Patroit”, urmărea aproape 150 de cuvinte-cheie, termeni de căutare și adrese de email. Când un mesaj se potrivea cu unul dintre acești termeni, Google Workspace trimitea automat o copie ascunsă către o adresă Gmail controlată de atacatori. Adresa respectivă a fost ulterior dezactivată de Google.

Această metodă este periculoasă tocmai pentru că nu arată ca un furt clasic de date. Nu apare neapărat un flux neobișnuit de trafic, nu există un malware vizibil pe serverul de email și nu este nevoie de un instrument separat pentru exfiltrare. O funcție creată pentru conformitate și administrare devine, în mâinile unui atacator cu drepturi suficiente, o conductă perfectă pentru spionaj.

Interesele spionajului: de la apărare la cercetare medicală

Termenii urmăriți de hackeri arată clar interesul campaniei: politici geostrategice, strategii militare, echipamente de apărare, tehnologii avansate, inteligență artificială, vehicule fără pilot, programe de cyber ofensiv și cercetare medicală. Un termen remarcat de cercetători a fost „chikungunya”, virus transmis de țânțari, relevant în contextul unui focar raportat în Guangdong, China, în 2025.

Lecții pentru organizații

Campania arată cât de vulnerabile pot deveni instituțiile de cercetare atunci când platformele vechi, aplicațiile expuse public și conturile administrative nu sunt monitorizate atent. REDCap este folosit pe scară largă tocmai în domenii sensibile, de la studii clinice și sănătate publică până la cercetare medicală și programe universitare.

Pentru organizații, lecția este clară: nu ajunge să cauți doar malware pe servere. Trebuie auditate și funcțiile legitime ale platformelor cloud, în special regulile de redirecționare, BCC, content compliance și modificările făcute de administratori. Un atacator care obține drepturi de admin nu mai are nevoie mereu să forțeze uși tehnice; poate folosi cheile deja existente în sistem.

Recomandări Google

Google recomandă verificarea serverelor REDCap expuse, eliminarea versiunilor vechi, nu doar instalarea celor noi lângă ele, și auditarea regulilor de email din Google Workspace sau din platforme similare. La fel de importantă este autentificarea multifactor rezistentă la phishing pentru conturile administrative.

Atacul UNC6508 arată o schimbare importantă în spionajul cibernetic: furtul de date nu se mai face doar prin instrumente ascunse, ci și prin abuzarea funcțiilor normale din servicii cloud. Când o regulă de email poate deveni o unealtă de spionaj, securitatea trebuie regândită.