Una funzionalità integrata di Google Workspace è diventata lo strumento di esfiltrazione preferito di un gruppo di spionaggio cinese.

Una funzionalità integrata di Google Workspace è diventata lo strumento di esfiltrazione preferito di un gruppo di spionaggio cinese.

      TL;DRUn gruppo di spionaggio legato alla Cina ha compromesso i server REDCap di istituzioni di ricerca negli Stati Uniti e in Canada, utilizzando poi le regole di posta di Google Workspace per rubare email. Un gruppo di spionaggio legato alla Cina ha trascorso più di un anno all'interno delle reti di ricerca medica, accademica e militare nordamericane, rubando dati sensibili e email di difesa. Gli attaccanti sono entrati attraverso una backdoor sui server di ricerca REDCap. Il metodo di esfiltrazione era la parte insolita: hanno ricollegato le regole di Google Workspace delle vittime per copiare i messaggi corrispondenti in una casella di posta che controllavano. Il Gruppo di Intelligenza sulle Minacce di Google ha delineato la campagna in un rapporto pubblicato questa settimana, attribuendola con alta fiducia a un cluster che monitora come UNC6508. Le vittime comprendono fornitori clinici, centri accademici, istituzioni sanitarie militari, gruppi di advocacy e regolatori della salute negli Stati Uniti e in Canada. Google afferma di aver notificato le organizzazioni colpite e di aver interrotto l'infrastruttura del gruppo. UNC6508 non è un nome nuovo. Google ha menzionato per la prima volta il gruppo a febbraio in un rapporto più ampio sugli attacchi sostenuti dallo stato contro il settore della difesa. Ciò che è nuovo è il quadro completo di come il gruppo operava una volta all'interno. Il punto di ingresso era REDCap, acronimo di Research Electronic Data Capture, una piattaforma web che ospedali e università utilizzano per costruire e gestire database di studi clinici. UNC6508 ha compromesso i server REDCap esposti esternamente. Google non ha identificato il vettore di accesso iniziale, nominato un CVE specifico o elencato le versioni colpite, sebbene abbia osservato il gruppo sondare installazioni più vecchie e vulnerabili. Circa tre mesi dopo la compromissione iniziale, il gruppo ha distribuito malware personalizzato che Google chiama INFINITERED. Il malware compromette i file di sistema di REDCap e fa tre cose: dirotta il processo di aggiornamento in modo che ogni nuova versione di REDCap reinietti il codice invece di eliminarlo, raccoglie nomi utente e password dalla pagina di accesso e li memorizza crittografati in tabelle di database locali, e funge da backdoor che riceve comandi tramite cookie HTTP ad ogni caricamento della pagina. La compromissione nota più antica risale a settembre 2023, con attività che continuano fino a novembre 2025. Una volta sul server, UNC6508 ha eseguito ricognizione interna e scoperta di credenziali, estraendo credenziali di database e account di servizio. Quei login hanno abilitato il movimento laterale nella rete interna e infine verso un account di amministratore di dominio. Google non descrive il percorso esatto per l'accesso da amministratore. Con diritti di amministratore, il gruppo ha impostato un metodo di esfiltrazione che non richiedeva malware aggiuntivo. UNC6508 ha abusato delle regole di conformità dei contenuti, una funzionalità legittima di Google Workspace che scansiona le email per parole chiave e può copiare o inoltrare messaggi corrispondenti. Il gruppo ha creato una regola, scritta erroneamente "Patroit", che monitorava quasi 150 parole chiave, termini di ricerca e indirizzi email. Quando un messaggio corrispondeva, Workspace lo inviava silenziosamente in BCC a un indirizzo Gmail controllato dall'attaccante. Nessun malware sul server di posta, nessun strumento di esfiltrazione separato, nessun traffico di rete insolito. Solo una funzionalità amministrativa integrata utilizzata contro l'organizzazione che si affidava ad essa. Google ha da allora disabilitato l'indirizzo Gmail. MITRE già catalogava l'abuso delle regole di inoltro email come una tecnica nota sotto T1114.003. Ciò che Google segnala come nuovo è l'uso delle regole di conformità dei contenuti a livello di dominio per ottenere lo stesso risultato, un metodo che afferma di non aver precedentemente osservato da un attore legato alla Cina. L'elenco delle parole chiave della regola corrispondeva alle priorità di raccolta di UNC6508: politica geo-strategica, strategia e attrezzature militari, tecnologia avanzata inclusi AI e veicoli senza equipaggio, programmi di cyber attacco e ricerca medica. Un termine si è distinto per la sua specificità, chikungunya, il virus trasmesso dalle zanzare responsabile di un importante focolaio nel 2025 nella provincia cinese del Guangdong che ha infettato più di 16.000 persone. La campagna illustra un modello più ampio. ShinyHunters ha recentemente sfruttato una vulnerabilità zero-day non corretta di Oracle PeopleSoft per violare più di 100 organizzazioni, due terzi delle quali università. In entrambi i casi, gli attaccanti hanno preso di mira software aziendale di cui le istituzioni di ricerca dipendono, e le vittime avevano una visibilità limitata sulla compromissione fino a quando una parte esterna non l'ha divulgata. La tecnica di Google Workspace è particolarmente preoccupante perché non lascia quasi alcuna traccia forense sul sistema di posta stesso. Quando gli hacker hanno violato la Commissione Europea attraverso una versione compromessa dello strumento di sicurezza Trivy, l'attacco ha almeno generato traffico di rete anomalo che alla fine ha attivato allerta. L'approccio di UNC6508 non ha generato nulla, perché la copia delle email è stata eseguita da una funzionalità di sistema legittima che operava esattamente come progettato. Le raccomandazioni di Google sono specifiche. Correggere i server REDCap esposti esternamente e rimuovere completamente le versioni obsolete, poiché REDCap consente alle installazioni legacy di funzionare accanto a quelle attuali, abilitando attacchi di downgrade. Rivedere le regole di conformità dei contenuti e di inoltro email di Google Workspace per qualsiasi cosa che invii in BCC o reindirizzi email a indirizzi esterni. Controllare i registri di audit degli amministratori per quando le regole sono cambiate, non solo cosa dicono attualmente. Cercare INFINITERED utilizzando gli indicatori pubblicati da GTIG. E implementare MFA resistente al phishing sugli account degli amministratori, poiché l'intero passaggio di furto email dipendeva dall'accesso da amministratore. Google non sa ancora come UNC6508 abbia raggiunto per la prima volta i server REDCap. Questa lacuna è meno importante della lezione più ampia: una volta che gli attaccanti hanno accesso da amministratore a un sistema di posta cloud, una funzionalità integrata può silenziosamente diventare un canale di esfiltrazione. La backdoor REDCap li ha fatti entrare. La regola di Google Workspace ha estratto i dati. I difensori devono controllare entrambi.

Altri articoli

Xiaomi ha costruito un braccio robotico che collega la tua auto elettrica a casa, mantenendo una promessa fatta da Tesla nel 2014 e mai mantenuta. Xiaomi ha costruito un braccio robotico che collega la tua auto elettrica a casa, mantenendo una promessa fatta da Tesla nel 2014 e mai mantenuta. Xiaomi ha svelato un braccio robotico di ricarica per le sue auto elettriche che si collega e si scollega automaticamente senza l'intervento del proprietario. Mira a un lancio al dettaglio nel quarto trimestre del 2026 in Cina. L'app di taxi più grande del Giappone ha raccolto 553 milioni di dollari nella più grande IPO del paese quest'anno. L'app di taxi più grande del Giappone ha raccolto 553 milioni di dollari nella più grande IPO del paese quest'anno. Go Inc. inizia a essere quotata alla Borsa di Tokyo dopo aver raccolto ¥88,6 miliardi nell'IPO più grande del Giappone del 2026, sostenuta da Goldman Sachs e BlackRock. Il giudice archivia il caso di segreto commerciale xAI contro OpenAI Il giudice archivia il caso di segreto commerciale xAI contro OpenAI Il giudice distrettuale degli Stati Uniti Rita Lin ha respinto la causa per segreti commerciali di xAI con pregiudizio, la seconda volta in quattro settimane che un tribunale si schiera a favore di OpenAI contro Elon Musk. La più grande app di taxi del Giappone ha raccolto 553 milioni di dollari nella più grande IPO del paese di quest'anno. La più grande app di taxi del Giappone ha raccolto 553 milioni di dollari nella più grande IPO del paese di quest'anno. Go Inc. inizia a essere quotata alla Borsa di Tokyo dopo aver raccolto ¥88,6 miliardi nell'IPO più grande del Giappone del 2026, sostenuta da Goldman Sachs e BlackRock. Colloqui di crisi antropica con il commercio riguardo al divieto di Fable 5 Anthropic incontra i funzionari del commercio lunedì per risolvere la sospensione di Fable 5 e Mythos 5, in mezzo ad accuse di "sconsideratezza" e oltre 100 esperti informatici che chiedono un'inversione. Il giudice archivia il caso di segreto commerciale xAI contro OpenAI Il giudice archivia il caso di segreto commerciale xAI contro OpenAI Il giudice distrettuale degli Stati Uniti Rita Lin ha respinto la causa per segreti commerciali di xAI con pregiudizio, la seconda volta in quattro settimane che un tribunale si schiera a favore di OpenAI contro Elon Musk.

Una funzionalità integrata di Google Workspace è diventata lo strumento di esfiltrazione preferito di un gruppo di spionaggio cinese.

Un gruppo legato alla Cina ha compromesso i server REDCap presso istituzioni di ricerca medica e militare negli Stati Uniti e in Canada, per poi utilizzare Google Workspace per estrarre email.