Google Workspace usato dagli hacker cinesi per rubare email da Ospedali e Università

Un gruppo di spionaggio legato alla Cina ha compromesso server REDCap esposti esternamente, utilizzando un malware personalizzato chiamato INFINITERED. Gli aggressori hanno sfruttato le regole di conformità dei contenuti di Google Workspace per esfiltrare email sensibili da reti di ricerca medica e militare in Nord America. La campagna è stata attribuita a UNC6508, con Google che ha interrotto l'infrastruttura degli attaccanti ma non ha ancora identificato il vettore di accesso iniziale.

Un gruppo di spionaggio legato alla Cina si è infiltrato all’interno delle reti di ricerca medica, accademica e militare in Nord America per oltre un anno, rubando silenziosamente ricerche sensibili e email delle organizzazioni. L’ingresso è stato possibile grazie a una backdoor sui server REDCap (Research Electronic Data Capture), utilizzati per costruire e gestire database di studio da parte di ospedali e università. Gli aggressori hanno compromesso i server REDCap esposti esternamente, sfruttando vulnerabilità in versioni obsolete del software.

Il gruppo ha anche utilizzato un malware personalizzato chiamato INFINITERED, che infetta i file di sistema di REDCap. Questo malware intercetta il processo di aggiornamento per reiniettare il codice malizioso ogni volta che viene aggiornato REDCap, raccoglie credenziali di accesso dalla pagina di login e le memorizza in tabelle di database locali, e funge da backdoor tramite HTTP cookies. La prima compromissione risale a settembre 2023, con attività continue fino a novembre 2025.

Una volta all’interno del server, riportano gli analiti di Google, il gruppo ha eseguito una ricognizione interna per scoprire le credenziali e per spostarsi nella rete e ottenere l’accesso a un account amministratore di dominio. Con questi privilegi, hanno configurato il sistema di esfiltrazione.

L’esfiltrazione è avvenuta sfruttando una caratteristica legittima di Google Workspace. Il gruppo ha creato una regola denominata “Patroit” (forse un typo) che monitorava quasi 150 parole chiave, termini di ricerca ed indirizzi email. Quando un messaggio corrispondeva, Workspace lo inoltrava silenziosamente a un indirizzo Gmail controllato dagli attaccanti.

Le parole chiave utilizzate erano legate alle priorità di raccolta del gruppo: politica geo-strategica, strategia e attrezzature militari, tecnologie avanzate come l’intelligenza artificiale e i veicoli senza pilota, programmi di cyber-offensive e ricerca medica. Una parola chiave particolare era “chikungunya“, si tratta di un virus trasmesso dalle zanzare responsabile di un’epidemia nel 2025 nella provincia cinese del Guangdong.

Google ha attribuito con alta fiducia questa campagna a UNC6508, un cluster che monitora da febbraio. L’azienda ha notificato le vittime e interrotto l’infrastruttura degli attaccanti. Tuttavia, Google non ha ancora identificato il vettore di accesso iniziale.

Tali minacce è possibile mitigarle aggiornando i server REDCap esposti esternamente e rimuovendo completamente le versioni obsolete del software. Inoltre, è necessario revisionare le regole di conformità dei contenuti e di inoltro delle email per rilevare eventuali configurazioni sospette che reindirizzano le email a indirizzi esterni. È essenziale monitorare i log di audit degli amministratori per rilevare cambiamenti nelle regole, utilizzare gli indicatori pubblicati da GTIG per cercare INFINITERED e implementare l’autenticazione multifattore resistente al phishing sugli account amministratori.

Carolina Vivianti

Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.

Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance