Uma campanha de espionagem com vínculo à China manteve-se infiltrada por mais de um ano em redes de pesquisa médica, acadêmica e militar da América do Norte, roubando discretamente pesquisas sensíveis e emails ligados à defesa.
Pesquisadores do Google Threat Intelligence Group (GTIG) atribuem os ataques a um threat actor identificado como UNC6508, que permaneceu sem ser detectado por mais de um ano na rede da vítima. O grupo e o backdoor para REDCap não são novidades: o Google apresentou ambos pela primeira vez em fevereiro, em um relatório mais amplo sobre ataques patrocinados por Estados. Na ocasião, não identificou as vítimas, descrevendo apenas múltiplas organizações nos Estados Unidos e no Canadá, incluindo provedores clínicos, centros acadêmicos, instituições de saúde militar, grupos de defesa de interesses e órgãos reguladores da área da saúde.
A plataforma REDCap é amplamente usada em pesquisas médicas e científicas para criar e gerenciar bancos de dados e questionários em conformidade com exigências regulatórias desse setor. O GTIG detalhou a campanha em um relatório publicado nesta semana e atribuiu a operação, com alta confiança, a um cluster que monitora como UNC6508.
Embora os pesquisadores não tenham conseguido determinar com precisão o vetor inicial de comprometimento, eles observaram que o grupo comprometeu servidores REDCap expostos à internet e testou versões antigas e vulneráveis da plataforma, sem apontar uma CVE específica ou as versões afetadas. Com base na investigação, o comprometimento da organização de pesquisa médica ocorreu em setembro de 2023, e a atividade maliciosa continuou até novembro de 2025.
Segundo o GTIG, cerca de três meses após o acesso inicial, os invasores implantaram o malware personalizado INFINITERED, desenvolvido especificamente para sistemas REDCap, e esconderam seus componentes ao trojanizar arquivos do sistema do servidor. O código se disfarça dentro dos próprios arquivos do REDCap e executa três funções: sequestra o processo de atualização para que cada nova versão reinsira o código em vez de removê-lo; coleta nomes de usuário e senhas enviados pelas páginas de login do REDCap e armazena esses dados, criptografados, em tabelas locais do banco de dados; e atua como backdoor, recebendo comandos por meio de cookies HTTP e executando ações a cada carregamento de página.
O backdoor, que recebe comandos por meio de cookies HTTP, dava ao UNC6508 as seguintes capacidades:
Executar comandos de shell
Enviar arquivos para o servidor REDCap
Baixar arquivos do servidor
Executar consultas SQL arbitrárias
Recuperar credenciais roubadas
Excluir registros de credenciais roubadas
Retornar informações do sistema e do banco de dados
Uma vez dentro do servidor, o UNC6508 fez reconhecimento interno, buscou credenciais e extraiu dados de bancos de dados e contas de serviço. Com esses acessos, avançou para a rede interna e depois para uma conta de administrador de domínio, embora o Google não detalhe o caminho exato até essa conta administrativa.
Uma técnica notável da campanha, e inédita entre threat actors ligados à China, foi o uso de uma regra de conformidade de conteúdo do próprio Google Workspace para exfiltrar dados por e-mail. Em vez de instalar uma ferramenta separada ou malware no servidor de email, os atacantes reconfiguraram regras nativas da plataforma das vítimas para copiar mensagens que correspondessem às palavras-chave definidas por eles e encaminhá-las para uma caixa de entrada sob seu controle.
Depois de obter acesso de administrador, o UNC6508 criou uma regra de content compliance chamada “Patroit”, que analisava a organização em busca de palavras-chave específicas, padrões de conteúdo, endereços de e-mail e números de telefone. As correspondências eram então enviadas automaticamente em cópia oculta, ou BCC, para “[email protected]”, conta que agora está desativada pelo Google. O grupo monitorava quase 150 termos, incluindo palavras-chave relacionadas a pesquisa médica, tecnologia avançada, temas militares, política geoestratégica, AI, veículos não tripulados e programas ofensivos de cibersegurança. Um termo chamou atenção pela especificidade: chikungunya, o vírus transmitido por mosquitos que esteve por trás de um surto em 2025 na província de Guangdong, na China.
O GTIG observou um alto nível de segurança operacional ao longo da campanha, incluindo o uso de infraestrutura de proxy residencial baseada nos EUA, roteadores comprometidos, VPS, repetição de credenciais e infraestrutura dedicada para exfiltração de dados. O Google notificou várias organizações nos Estados Unidos e no Canadá que foram comprometidas com o malware INFINITERED.
“As áreas de pesquisa delas abrangem um amplo espectro da medicina moderna, desde descobertas moleculares e ensaios clínicos de medicamentos até políticas estaduais de saúde pública e prontidão militar.”
Administradores do REDCap são recomendados a atualizar suas instâncias para as versões mais recentes disponíveis e remover implantações legadas. O REDCap permite que versões antigas operem em paralelo, o que abre espaço para downgrade attacks, em que o invasor força o software a voltar para uma versão conhecida por ser vulnerável. O Google também orienta o uso de MFA/2SV em contas com altos privilégios e de Device Bound Session Credentials (DBSC) para evitar o sequestro de sessão.
O ponto de partida é também revisar o lado do email. No Google Workspace, ou em plataforma equivalente, é preciso auditar regras de conformidade de conteúdo e de encaminhamento em busca de qualquer configuração que copie ou redirecione mensagens para endereços externos, além de consultar logs de auditoria de administradores para identificar quando as regras foram alteradas. Regras YARA e indicadores de comprometimento, ou IoCs, estão presentes no relatório para ajudar na varredura de ambientes em busca de infecções pelo malware INFINITERED.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...