Durante más de un año, un grupo de espías vinculados a China permaneció oculto dentro de las redes de investigación médica, académica y militar de América del Norte, robando en secreto correos electrónicos confidenciales relacionados con investigaciones y defensa.
El punto de entrada era una puerta trasera en el servidor de investigación REDCap que robaba las credenciales de inicio de sesión. Este derrame fue una parte inusual. El atacante reconectó las reglas de Google Workspace de la víctima para copiar mensajes que coincidieran con las palabras clave a una bandeja de entrada que él controlaba.
El Threat Intelligence Group (GTIG) de Google describió la campaña en un informe publicado esta semana y tiene gran confianza en que es el resultado del grupo que rastrea como UNC6508.
Este actor y su puerta trasera REDCap no son nombres nuevos. Ambos surgieron por primera vez en febrero en un informe más amplio sobre ataques patrocinados por el Estado al sector de defensa. No nombró a las víctimas, solo las describió como múltiples organizaciones en los EE. UU. y Canadá: proveedores clínicos, centros académicos, agencias de salud militares, grupos de defensa y reguladores de salud.
Google dice que les notificó e interrumpió la infraestructura del grupo.
¿Cómo entraron?
El punto de entrada fue REDCap (Research Electronic Data Capture), una plataforma web utilizada por hospitales y universidades para crear y gestionar bases de datos de investigación. UNC6508 comprometió un servidor REDCap externo.
Google no especificó el vector de acceso inicial, no especificó el CVE específico ni enumeró las versiones afectadas, pero cree que el grupo está investigando versiones más antiguas y vulnerables.
Aproximadamente tres meses después de la infracción, el grupo introdujo el malware personalizado GTIG llamado INFINITERED. El malware troyaniza los propios archivos del sistema de REDCap y hace tres cosas:
Primero, secuestra el proceso de actualización para reinsertar el código en lugar de borrarlo para cada nueva versión de REDCap. Luego recopila el nombre de usuario y la contraseña de la página de inicio de sesión, los cifra y los almacena en una tabla de base de datos local. En tercer lugar, actúa como una puerta trasera, capturando comandos a través de cookies HTTP y ejecutándolos cada vez que se carga la página.
La infracción más antigua conocida se remonta a septiembre de 2023 y la actividad continuó hasta noviembre de 2025. UNC6508 realizó reconocimiento interno y descubrimiento de credenciales en el servidor, obtuvo credenciales para bases de datos y cuentas de servicio, y utilizó esos inicios de sesión para infiltrarse en la red interna y pasar a cuentas de administrador de dominio.
Google no detalla la ruta exacta a esa cuenta de administrador. Con privilegios de administrador, el grupo ha configurado la salida.
¿Cómo robaron el correo electrónico?
Esta filtración aprovechó una funcionalidad que ya existía. UNC6508 aprovechó las reglas de cumplimiento de contenido, una función administrativa legítima de Google Workspace que escanea los correos electrónicos en busca de palabras clave y le permite copiar o reenviar mensajes coincidentes.
Existe una funcionalidad similar en otras suites de correo electrónico en la nube. El grupo creó una regla que monitoreaba casi 150 palabras clave, términos de búsqueda y direcciones de correo electrónico que escribían mal «Patroit». Una vez que los mensajes coincidían, Workspace los envió silenciosamente a una dirección de Gmail controlada por el atacante, que luego Google deshabilitó. No hay malware en el servidor de correo, ni herramientas de extracción independientes ni tráfico de red inusual. Era simplemente una función de correo electrónico incorporada que se utilizaba para copiar información confidencial de una organización en una bandeja de entrada que pertenecía al atacante.
MITRE ya ha catalogado el abuso de las reglas de reenvío de correo electrónico como una técnica conocida. Lo que GTIG está señalando como nuevo aquí es el uso de reglas de cumplimiento de contenido de dominio para hacer esto, que según GTIG es un método no visto anteriormente por parte de atacantes vinculados a China.
Las palabras clave en esta regla se corresponden con la colección de prioridades de UNC6508, incluida la política geoestratégica, la estrategia y el equipo militar, las tecnologías avanzadas que incluyen inteligencia artificial y vehículos no tripulados, programas cibernéticos ofensivos e investigación médica. Un término que destaca por su especificidad es chikungunya, un virus transmitido por mosquitos que se originó en la provincia china de Guangdong en 2025.
que hacer
Comencemos con REDCap. Parchee los servidores externos, no solo en paralelo con la compilación actual, sino que también elimine por completo las versiones antiguas. REDCap permite que las versiones heredadas se ejecuten en paralelo, lo que permite a los atacantes realizar ataques de degradación que obligan al software a volver a una versión con vulnerabilidades conocidas.
A continuación, consulte el lado del correo electrónico. Revise el cumplimiento de contenido de Workspace o equivalente y las reglas de reenvío de correo electrónico para CCO o redireccionamiento de correos electrónicos a direcciones externas. Consulte el registro de auditoría del administrador para ver cuándo se cambiaron las reglas, no solo las actuales. Levante los indicadores publicados por GTIG y busque INFINITERED. Además, configure MFA resistente al phishing en las cuentas de administrador, ya que todo el procedimiento de robo de correo electrónico depende del acceso del administrador.
Google todavía no sabe cómo UNC6508 llegó por primera vez al servidor REDCap. La parte importante son las reglas del correo electrónico. Si un atacante mantiene acceso administrativo, la funcionalidad incorporada en la nube puede ser una ruta de fuga encubierta, y los defensores deben auditar esto, así como la puerta trasera REDCap.
Source link
