Una función integrada de Google Workspace se convirtió en la herramienta de exfiltración favorita de un grupo de espionaje chino.

Una función integrada de Google Workspace se convirtió en la herramienta de exfiltración favorita de un grupo de espionaje chino.

      TL;DRUn grupo de espionaje vinculado a China comprometió servidores REDCap en instituciones de investigación de EE. UU. y Canadá, y luego utilizó reglas de correo de Google Workspace para robar correos electrónicos. Un grupo de espionaje vinculado a China pasó más de un año dentro de redes de investigación médica, académica y militar en América del Norte, robando datos sensibles y correos electrónicos de defensa. Los atacantes ingresaron a través de una puerta trasera en los servidores de investigación REDCap. El método de exfiltración fue la parte inusual: reconfiguraron las propias reglas de Google Workspace de las víctimas para copiar mensajes coincidentes a una bandeja de entrada que controlaban. El Grupo de Inteligencia de Amenazas de Google expuso la campaña en un informe publicado esta semana, atribuyéndola con alta confianza a un grupo que rastrea como UNC6508. Las víctimas abarcan proveedores clínicos, centros académicos, instituciones de salud militar, grupos de defensa y reguladores de salud en los Estados Unidos y Canadá. Google dice que notificó a las organizaciones afectadas y interrumpió la infraestructura del grupo. UNC6508 no es un nombre nuevo. Google mencionó por primera vez al grupo en febrero en un informe más amplio sobre ataques respaldados por el estado contra el sector de defensa. Lo nuevo es la imagen completa de cómo operó el grupo una vez dentro. El punto de entrada fue REDCap, que significa Captura Electrónica de Datos de Investigación, una plataforma web que hospitales y universidades utilizan para construir y gestionar bases de datos de estudios clínicos. UNC6508 comprometió servidores REDCap expuestos externamente. Google no ha identificado el vector de acceso inicial, nombrado un CVE específico, o listado versiones afectadas, aunque observó al grupo sondeando instalaciones antiguas y vulnerables. Aproximadamente tres meses después de la primera compromisión, el grupo desplegó malware personalizado que Google llama INFINITERED. El malware convierte en troyano los propios archivos del sistema de REDCap y hace tres cosas: secuestra el proceso de actualización para que cada nueva versión de REDCap reinyecte el código en lugar de eliminarlo, recoge nombres de usuario y contraseñas de la página de inicio de sesión y los almacena encriptados en tablas de base de datos locales, y actúa como una puerta trasera que recibe comandos a través de cookies HTTP en cada carga de página. La primera compromisión conocida data de septiembre de 2023, con actividad continuando hasta noviembre de 2025. Una vez en el servidor, UNC6508 realizó reconocimiento interno y descubrimiento de credenciales, extrayendo credenciales de bases de datos y cuentas de servicio. Esos inicios de sesión permitieron el movimiento lateral dentro de la red interna y eventualmente a una cuenta de administrador de dominio. Google no describe el camino exacto hacia el acceso de administrador. Con derechos de administrador, el grupo estableció un método de exfiltración que no requería malware adicional. UNC6508 abusó de las reglas de cumplimiento de contenido, una característica legítima de Google Workspace que escanea correos electrónicos en busca de palabras clave y puede copiar o reenviar mensajes coincidentes. El grupo creó una regla, mal escrita como "Patroit", que vigilaba casi 150 palabras clave, términos de búsqueda y direcciones de correo electrónico. Cuando un mensaje coincidía, Workspace lo BCC enviaba silenciosamente a una dirección de Gmail controlada por el atacante. Sin malware en el servidor de correo, sin herramienta de exfiltración separada, sin tráfico de red inusual. Solo una característica administrativa integrada utilizada en contra de la organización que dependía de ella. Google ha deshabilitado desde entonces la dirección de Gmail. MITRE ya cataloga el abuso de reglas de reenvío de correo electrónico como una técnica conocida bajo T1114.003. Lo que Google señala como novedoso es el uso de reglas de cumplimiento de contenido a nivel de dominio para lograr el mismo resultado, un método que dice no haber observado previamente de un actor vinculado a China. La lista de palabras clave de la regla se alineaba con las prioridades de recopilación de UNC6508: política geo-estratégica, estrategia y equipo militar, tecnología avanzada incluyendo IA y vehículos no tripulados, programas cibernéticos ofensivos y investigación médica. Un término destacó por su especificidad, chikungunya, el virus transmitido por mosquitos detrás de un importante brote en 2025 en la provincia de Guangdong en China que infectó a más de 16,000 personas. La campaña ilustra un patrón más amplio. ShinyHunters explotó recientemente un día cero de Oracle PeopleSoft sin parchear para violar más de 100 organizaciones, dos tercios de ellas universidades. En ambos casos, los atacantes apuntaron a software empresarial del que dependen las instituciones de investigación, y las víctimas tenían visibilidad limitada sobre la compromisión hasta que una parte externa lo divulgó. La técnica de Google Workspace es particularmente preocupante porque deja casi ninguna huella forense en el sistema de correo en sí. Cuando los hackers violaron la Comisión Europea a través de una versión envenenada de la herramienta de seguridad Trivy, el ataque al menos generó tráfico de red anómalo que eventualmente activó alertas. El enfoque de UNC6508 no generó ninguno, porque la copia de correos electrónicos fue realizada por una característica del sistema legítima que operaba exactamente como estaba diseñada. Las recomendaciones de Google son específicas. Parchear los servidores REDCap expuestos externamente y eliminar versiones antiguas por completo, porque REDCap permite que instalaciones heredadas funcionen junto a las actuales, habilitando ataques de degradación. Revisar las reglas de cumplimiento de contenido y reenvío de correo de Google Workspace en busca de cualquier cosa que BCC o redirija correos electrónicos a direcciones externas. Verificar los registros de auditoría de administrador para cuándo cambiaron las reglas, no solo lo que dicen actualmente. Buscar INFINITERED utilizando los indicadores publicados por GTIG. Y desplegar MFA resistente a phishing en cuentas de administrador, ya que todo el paso de robo de correo electrónico dependía del acceso de administrador. Google aún no sabe cómo UNC6508 llegó por primera vez a los servidores REDCap. Esa brecha importa menos que la lección más amplia: una vez que los atacantes tienen acceso de administrador a un sistema de correo en la nube, una característica integrada puede convertirse silenciosamente en un canal de exfiltración. La puerta trasera de REDCap les permitió entrar. La regla de Google Workspace sacó los datos. Los defensores necesitan auditar ambos.

Otros artículos

Charlas de crisis antropológica con Comercio sobre la prohibición de Fable 5 Anthropic se reúne con funcionarios del comercio el lunes para resolver la suspensión de Fable 5 y Mythos 5, en medio de acusaciones de "imprudencia" y más de 100 expertos en ciberseguridad exigiendo la reversión. Xbox está negociando para escindir Compulsion Games, Double Fine y Ninja Theory en lugar de cerrarlas. Xbox está negociando para escindir Compulsion Games, Double Fine y Ninja Theory en lugar de cerrarlas. Tres estudios de Xbox están en conversaciones para recomprarse y volverse independientes, mientras que la reestructuración de la CEO Asha Sharma tiene como objetivo una disminución de ingresos anuales de $500 millones. El CEO de Rivian dice que la conducción autónoma supervisada de punto a punto llegará este año, y la está comparando directamente con el FSD de Tesla. El CEO de Rivian dice que la conducción autónoma supervisada de punto a punto llegará este año, y la está comparando directamente con el FSD de Tesla. RJ Scaringe dice que Rivian enviará conducción supervisada punto a punto en todos los vehículos Gen 2 y R2 este año, con autonomía sin manos siguiendo en 2027. IMEC construyó una plataforma de chip que funciona hasta 325GHz, y podría hacer que el hardware 6G sea lo suficientemente barato como para implementarlo realmente. IMEC construyó una plataforma de chip que funciona hasta 325GHz, y podría hacer que el hardware 6G sea lo suficientemente barato como para implementarlo realmente. La plataforma de interpositores de silicio RF de 300 mm de IMEC logra una pérdida de señal récord en frecuencias de hasta 325 GHz, un paso hacia la fabricación asequible de chiplets 6G. Peacock traerá microdramas verticales de Bravo y un feed al estilo TikTok a tu teléfono pronto. Peacock traerá microdramas verticales de Bravo y un feed al estilo TikTok a tu teléfono pronto. Peacock se está lanzando por completo al video vertical con microdramas originales de Bravo, un feed desplazable dedicado y herramientas impulsadas por IA para convertir su catálogo anterior para teléfonos. Canadá propone una revisión de la privacidad que limitaría la vigilancia de precios y otorgaría a los consumidores el derecho a eliminar sus datos. Canadá propone una revisión de la privacidad que limitaría la vigilancia de precios y otorgaría a los consumidores el derecho a eliminar sus datos. El proyecto de ley C-36 de Canadá reemplazaría a PIPEDA, restringiría la fijación de precios de vigilancia, trataría los datos de los niños como sensibles y crearía un regulador con poder de multa de 25 millones de dólares canadienses.

Una función integrada de Google Workspace se convirtió en la herramienta de exfiltración favorita de un grupo de espionaje chino.

Un grupo vinculado a China comprometió los servidores de REDCap en instituciones de investigación médica y militar en EE. UU. y Canadá, y luego utilizó Google Workspace para exfiltrar correos electrónicos.