Hackerii chinezi au transformat Google Workspace într-o unealtă de spionaj. Cum au furat emailuri de cercetare și apărare

Un grup de spionaj cibernetic asociat Chinei a reușit să stea ascuns mai bine de un an în rețele medicale, academice și militare din America de Nord, furând date sensibile din emailuri de cercetare și apărare. Campania a fost detaliată de Google Threat Intelligence Group, care atribuie atacul, cu un nivel ridicat de încredere, unui grup urmărit sub numele UNC6508.

Atacul este important nu doar prin țintele vizate, ci mai ales prin metoda folosită. Hackerii nu s-au bazat doar pe malware clasic sau pe transferuri evidente de fișiere, ci au abuzat o funcție legitimă din Google Workspace: regulile de conformitate pentru conținut. Practic, după ce au obținut acces de administrator, au făcut ca sistemul de email al victimelor să le trimită automat copii ale mesajelor care conțineau anumiți termeni-cheie.

Cum au intrat atacatorii în rețele

Punctul de intrare a fost REDCap, o platformă web folosită frecvent de spitale, universități și instituții de cercetare pentru colectarea și gestionarea datelor din studii. Potrivit Google, atacatorii au compromis servere REDCap expuse online, însă metoda exactă de acces inițial nu a fost stabilită public. Nu a fost indicat un CVE anume, dar cercetătorii au observat interesul grupului pentru versiuni mai vechi și vulnerabile.

După aproximativ trei luni de la compromiterea inițială, atacatorii au instalat un malware personalizat, numit de Google INFINITERED. Acesta a fost construit special pentru REDCap și a modificat fișierele platformei astfel încât codul malițios să persiste chiar și după actualizări. Cu alte cuvinte, un simplu upgrade nu era suficient pentru a curăța complet sistemul.

Vezi și:

Piscine București 2026. Cât costă intrarea la Therme, Divertiland, Lagoon Park și alte locații populare. Tarife actualizate

INFINITERED avea mai multe funcții. Fura nume de utilizator și parole din pagina de autentificare, salva datele în tabele locale, într-o formă criptată, și funcționa ca backdoor, primind comenzi prin cookie-uri HTTP. Activitatea cunoscută a campaniei a început în septembrie 2023 și a continuat până în noiembrie 2025.

Odată ajunși pe server, hackerii au făcut recunoaștere internă, au căutat credențiale suplimentare, au obținut date de acces la baze de date și conturi de servicii, apoi s-au deplasat în rețeaua internă până la obținerea unui cont de administrator de domeniu. Din acel moment, atacul a trecut la etapa cea mai discretă: furtul sistematic de emailuri.

Trucul cu regulile Google Workspace

În loc să instaleze un instrument evident de exfiltrare pe serverul de email, atacatorii au folosit chiar funcțiile administrative ale Google Workspace. Au creat o regulă de content compliance, adică un mecanism legitim prin care organizațiile pot scana emailurile după termeni sensibili și pot lua măsuri automate.

Vezi și:

Moment stânjenitor pentru CEO-ul Google la Stanford. Studenții au părăsit discursul lui Sundar Pichai în semn de protest

Nu mai trebuie să verifici noutățile non-stop pe internet. Google lansează agenții AI care caută și urmăresc informațiile pentru tine, 24/7

Regula creată de UNC6508, denumită greșit „Patroit”, urmărea aproape 150 de cuvinte-cheie, termeni de căutare și adrese de email. Când un mesaj se potrivea cu unul dintre acești termeni, Google Workspace trimitea automat o copie ascunsă către o adresă Gmail controlată de atacatori. Adresa respectivă a fost ulterior dezactivată de Google.

Această metodă este periculoasă tocmai pentru că nu arată ca un furt clasic de date. Nu apare neapărat un flux neobișnuit de trafic, nu există un malware vizibil pe serverul de email și nu este nevoie de un instrument separat pentru exfiltrare. O funcție creată pentru conformitate și administrare devine, în mâinile unui atacator cu drepturi suficiente, o conductă perfectă pentru spionaj.

Termenii urmăriți de hackeri arată clar interesul campaniei: politici geostrategice, strategii militare, echipamente de apărare, tehnologii avansate, inteligență artificială, vehicule fără pilot, programe de cyber ofensiv și cercetare medicală. Un termen remarcat de cercetători a fost „chikungunya”, virus transmis de țânțari, relevant în contextul unui focar raportat în Guangdong, China, în 2025.

De ce atacul este un semnal de alarmă

Campania arată cât de vulnerabile pot deveni instituțiile de cercetare atunci când platformele vechi, aplicațiile expuse public și conturile administrative nu sunt monitorizate atent. REDCap este folosit pe scară largă tocmai în domenii sensibile, de la studii clinice și sănătate publică până la cercetare medicală și programe universitare.

Pentru organizații, lecția este clară: nu ajunge să cauți doar malware pe servere. Trebuie auditate și funcțiile legitime ale platformelor cloud, în special regulile de redirecționare, BCC, content compliance și modificările făcute de administratori. Un atacator care obține drepturi de admin nu mai are nevoie mereu să forțeze uși tehnice; poate folosi cheile deja existente în sistem.

Google recomandă verificarea serverelor REDCap expuse, eliminarea versiunilor vechi, nu doar instalarea celor noi lângă ele, și auditarea regulilor de email din Google Workspace sau din platforme similare. La fel de importantă este autentificarea multifactor rezistentă la phishing pentru conturile administrative.

Atacul UNC6508 arată o schimbare importantă în spionajul cibernetic: furtul de date nu se mai face doar prin instrumente ascunse, ci și prin abuzarea funcțiilor normale din servicii cloud. Când o regulă de email poate copia luni întregi informații despre apărare, AI și cercetare medicală, securitatea nu mai înseamnă doar patch-uri, ci și verificarea atentă a lucrurilor care par perfect legitime.

Schimbări importante pentru pasagerii din UE. Ce despăgubiri ai putea primi dacă zborul este anulat sau întârzie