Google: группа UNC6508 атаковала медицинские и исследовательские организации через REDCap

Google Threat Intelligence Group сообщила о кампании UNC6508 — связанного с КНР кибершпионского кластера, который атаковал академические, медицинские и военные исследовательские организации в Северной Америке. Злоумышленники использовали серверы REDCap, внедряли собственное вредоносное ПО INFINITERED и применяли правила почтового контент-контроля для скрытой эксфильтрации данных.

Google Threat Intelligence Group сообщила о кампании UNC6508, связанного с КНР кибершпионского кластера, против академических, медицинских и военных исследовательских организаций в Северной Америке. По данным Google, первые известные компрометации относятся к сентябрю 2023 года, а активность в одном из расследованных случаев продолжалась до ноября 2025 года.

Основной входной точкой стали внешне доступные серверы REDCap — платформы Research Electronic Data Capture для создания и ведения баз данных и опросов в медицинских и научных исследованиях. После закрепления злоумышленники разворачивали INFINITERED: вредоносный модуль перехватывал учетные данные REDCap, внедрялся в легитимные файлы системы и сохранялся при обновлениях, включая сценарии развертывания в AWS Elastic Beanstalk.

Google также описывает технику, которую называет новой для PRC-nexus-групп: злоумышленники использовали административные правила content compliance в облачной почтовой среде. В одном случае правило с именем «Patroit» отбирало письма по ключевым словам и адресам, а затем скрыто пересылало совпадения BCC на контролируемый атакующими Gmail-аккаунт.

Интересы UNC6508, по оценке Google, охватывали медицинские исследования, ИИ, наступательные киберпрограммы, беспилотные системы, оборонную информацию и тематику Индо-Тихоокеанского командования. Google заявила, что нарушила работу инфраструктуры атакующих, уведомила пострадавшие организации и добавила индикаторы компрометации в Google Security Operations.

Администраторам REDCap и корпоративных почтовых сред Google рекомендует обновить REDCap до актуальной версии и удалить старые версии, проверить серверы на INFINITERED с помощью опубликованных YARA-правил и IOC, включить фишинг-устойчивую двухфакторную аутентификацию для администраторов, а также аудит изменений content compliance rules, DLP и журналов Workspace/SIEM.