O Grupo de Inteligência contra Ameaças do Google (GTIG, na sigla em inglês) publicou uma análise dos ataques realizados por um grupo de ciberespionagem ligado ao governo chinês.
Rastreado como UNC6508, o grupo acredita-se estar ativo desde pelo menos 2023, mas os pesquisadores do Google começaram a rastreá-lo no início de 2025. O UNC6508 foi mencionado pelo Google em um relatório publicado em fevereiro.
A campanha do UNC6508 observada pelo GTIG visava principalmente a América do Norte, com os hackers mirando grandes organizações de pesquisa médica, acadêmica e militar.
"Essas organizações incluem prestadores clínicos de renome mundial, centros acadêmicos de excelência, instituições militares de saúde da América do Norte, grupos de defesa profissional e órgãos reguladores de saúde", explicaram os pesquisadores do Google. "Suas áreas de pesquisa abrangem um amplo espectro da medicina moderna, desde descoberta molecular e ensaios clínicos de medicamentos até políticas de saúde pública em nível estadual e prontidão militar."
Alvos na área médica
Segundo o GTIG, os espiões cibernéticos miram regularmente servidores que hospedam o REDCap, uma plataforma web para construção e gerenciamento de bancos de dados de pesquisa clínica e pesquisas na área médica. O Google disse que não está claro como os invasores obtiveram acesso aos servidores do REDCap, mas evidências sugerem que podem estar mirando versões legadas vulneráveis.
Malware InfiniteRed
Em uma das invasões investigadas pelos pesquisadores da gigante de tecnologia, os hackers implantaram um malware chamado InfiniteRed três meses após a invasão inicial.
O InfiniteRed é um payload de malware personalizado que fornece capacidades de dropper (programa para instalar malware adicional), interceptação de atualizações, coleta de credenciais, backdoor (acesso remoto não autorizado) e comando e controle (C&C, na sigla em inglês). O malware foi descoberto nos sistemas de múltiplas organizações nos Estados Unidos e no Canadá.
A análise do Google descobriu que os hackers abusaram de um recurso legítimo chamado regras de conformidade de conteúdo para exfiltrar e-mails relacionados a tópicos específicos. As regras de conformidade dos invasores indicavam que eles miravam entidades além daquelas identificadas na comunidade de pesquisa médica.
Alvos além da medicina
O UNC6508 também parecia buscar inteligência valiosa relacionada à segurança nacional, IA (inteligência artificial), drones, pesquisa cibernética ofensiva, tecnologia de defesa, ativos navais, entidades diplomáticas e governamentais e unidades de comando militar.
Os hackers utilizaram redes de ofuscação, contas obtidas em grande escala, credenciais legítimas e infraestrutura específica para cada operação para esconder suas atividades dos defensores.
O Google disse que interrompeu a infraestrutura do ator de ameaça e notificou as vítimas identificadas.
A empresa lançou detalhes técnicos e indicadores de comprometimento (IoCs, na sigla em inglês) para ajudar os defensores a identificar e neutralizar a ameaça.
