Um grupo de espiao ligado a China se escondeu dentro de redes de pesquisa medica, academica e militar da America do Norte por mais de um ano, roubando silenciosamente pesquisas sensiveis e e-mails de defesa.
A entrada foi uma porta dos fundos nos servidores de pesquisa REDCap (Captura Eletronica de Dados de Pesquisa, na sigla em ingles), que roubava credenciais de login. A exfiltracao foi a parte incomum: os atacantes reconfiguraram as proprias regras do Google Workspace das vitimas para copiar qualquer mensagem que correspondesse as palavras-chave deles para uma caixa de entrada que controlavam.
O Grupo de Inteligencia contra Ameacas do Google (GTIG, na sigla em ingles) apresentou a campanha em um relatorio publicado esta semana e a atribui com alta confiança a um grupo que rastreia como UNC6508.
O ator e sua porta dos fundos no REDCap nao sao nomes novos; o Google впервые apresentou ambos em fevereiro, em um relatorio mais amplo sobre ataques apoiados por Estados contra o setor de defesa. Nao identificou as vitimas, descrevendo-as apenas como multiplas organizacoes nos Estados Unidos e no Canada: provedores clinicos, centros academicos, instituicoes de saude militar, grupos de defesa e reguladores de saude.
O Google afirma que as notificou e desarticulou a infraestrutura do grupo.
Como eles entraram
O ponto de entrada foi o REDCap (Research Electronic Data Capture), uma plataforma web que hospitais e universidades usam para criar e gerenciar bancos de dados de estudos. O UNC6508 comprometeu servidores REDCap voltados para a internet.
O Google ainda nao identificou o vetor de acesso inicial, nao nomeou uma CVE (Vulnerabilidade e Exposicao Comum, na sigla em ingles) especifica nem listou as versoes afetadas, embora tenha visto o grupo sondando versoes mais antigas e vulneraveis.
cerca de tres meses depois de entrar, o grupo implantou um malware personalizado que o GTIG chama de INFINITERED, que trojaniza os proprios arquivos de sistema do REDCap e faz tres coisas.
- Primeiro, seqüestra o processo de atualização para que cada nova versao do REDCap reinyecte o codigo em vez de limpa-lo.
- Segundo, colhe nomes de usuario e senhas da pagina de login e os armazena, criptografados, em tabelas do banco de dados local.
- Terceiro, atua como porta dos fundos, recebendo comandos por meio de cookies HTTP e executando em cada carregamento de pagina.
O comprometimento conhecido mais antigo remonta a setembro de 2023, com atividade continuando ate novembro de 2025. Uma vez no servidor, o UNC6508 realizou reconhecimento interno e descoberta de credenciais, extraindo credenciais de banco de dados e contas de servico, e usou esses logins para se mover para a rede interna e, em seguida, para uma conta de administrador de dominio.
O Google nao detalha o caminho exato para essa conta de administrador. Com direitos de administrador, o grupo configurou a exfiltracao.
Como eles roubaram os e-mails
A exfiltracao usou um recurso que ja existia. O UNC6508 abusou de regras de conformidade de conteudo, um recurso legitimo de administracao do Google Workspace que verifica e-mails em busca de palavras-chave e pode copiar ou redirecionar mensagens correspondentes.
Recursos semelhantes existem em outros servicos de e-mail em nuvem. O grupo criou uma regra, com erro de ortografia proposital, "Patroit", que monitorava quase 150 palavras-chave, termos de busca e enderecos de e-mail. Quando uma mensagem correspondia, o Workspace silenciosamente incluyia uma copia oculta (BCC, na sigla em ingles) para um endereco Gmail controlado pelos atacantes, que o Google desde entao desativou. Sem malware no servidor de e-mail, sem ferramenta de exfiltracao separada, sem trafego de rede incomum. Apenas um recurso de e-mail integrado, voltado para copiar os segredos da organizacao para uma caixa de entrada que os atacantes controlavam.
O MITRE ja cataloga abuso de regra de encaminhamento de e-mail como uma tecnica conhecida. O que o GTIG destaca como novo aqui e o uso de regras de conformidade de conteudo de dominio para faze-lo, um metodo que diz nunca ter visto de um ator ligado a China antes.
As palavras-chave da regra mapeavam as prioridades de coleta do UNC6508: politica geoespacial, estrategia e equipamento militar, tecnologia avancada incluindo IA e veiculos nao tripulados, programas ciberneticos ofensivos e pesquisa medica. Um termo se destacava por sua especificidade, chikungunya, o virus transmitido por mosquitos responsavel por um surto em 2025 na provincia de Guangdong, na China.
O que fazer
Comece pelo REDCap. Aplique correcoes em servidores voltados para a internet e remova versoes antigas completamente, nao apenas junto com a versao atual. O REDCap permite que versoes legadas sejam executadas lado a lado, e isso e o que permite ataques de downgrade, onde um atacante força o software de volta a uma versao vulneravel conhecida.
Entao verifique o lado do e-mail. Revise as regras de conformidade de conteudo e encaminhamento de e-mail do Workspace, ou equivalente, para verificar se ha algo que envie copias ocultas (BCC) ou redicione e-mails para enderecos externos. Verifique os logs de auditoria de administracao para quando as regras foram alteradas, nao apenas o que dizem agora. Obtenha os indicadores publicados pelo GTIG e procure pelo INFINITERED. E implemente MFA (autenticacao multifator, na sigla em ingles) resistente a phishing em contas de administrador, ja que toda a etapa de roubo de e-mails dependia de acesso de administrador.
O Google ainda nao sabe como o UNC6508 chegou primeiro aos servidores REDCap. A parte que merece atencao e a regra de e-mail. Uma vez que os atacantes obtem acesso de administrador, um recurso de nuvem integrado pode se tornar silenciosamente um caminho de exfiltracao, e e isso que os defensores precisam auditar, nao apenas a porta dos fundos do REDCap.
