Google Threat Intelligence Group сообщила о кампании китайскоязычной кибершпионской группы UNC6508, которая больше года оставалась в сетях североамериканских медицинских, академических и оборонных организаций. Главная особенность операции — не только компрометация серверов REDCap, но и тихое использование легитимных правил Google Workspace для копирования нужных писем на почтовый ящик, контролируемый атакующими.

REDCap, или Research Electronic Data Capture, широко применяется больницами и университетами для управления исследовательскими базами данных. По данным Google, UNC6508 получила доступ к внешне доступным REDCap-серверам, хотя конкретный первоначальный вектор, CVE или список уязвимых версий компания не назвала. После закрепления группа внедряла вредоносный код INFINITERED в системные файлы REDCap: он переживал обновления, перехватывал логины и пароли со страницы входа и сохранял их в локальных таблицах базы данных.

Самая ранняя известная активность относится к сентябрю 2023 года, а наблюдения продолжались до ноября 2025 года. Получив учётные данные, злоумышленники проводили разведку, искали сервисные и доменные доступы, а затем добрались до уровня администратора домена. Это открыло им путь к настройкам корпоративной почты.

Для эксфильтрации UNC6508 создала в Google Workspace правило content compliance с ошибочным названием «Patroit». Оно отслеживало почти 150 ключевых слов, адресов и поисковых терминов, связанных с военной стратегией, геополитикой, искусственным интеллектом, беспилотниками, наступательными киберпрограммами и медицинскими исследованиями. Если письмо совпадало с фильтром, Workspace автоматически отправлял скрытую копию на внешний Gmail-адрес, позже отключённый Google.

Риск этой техники в том, что она почти не похожа на классическую кражу данных: нет отдельного вредоносного инструмента на почтовом сервере и нет необычного канала передачи. Организации должны проверять не только заражённые REDCap-инстансы, но и историю изменений правил пересылки, BCC и content compliance в облачной почте. Для внешних REDCap-серверов Google рекомендует удалить старые версии, закрыть возможность отката к уязвимым релизам, искать индикаторы INFINITERED и включить phishing-resistant MFA для администраторов.

Источник: The Hacker News, 16 июня 2026