Встроенная функция Google Workspace стала любимым инструментом эксфильтрации китайской шпионской группы.

      TL;DRГруппа шпионов, связанная с Китаем, UNC6508, использовала заднюю дверь на серверах REDCap в исследовательских учреждениях США и Канады, а затем применяла правила почты Google Workspace для кражи электронной почты.

      Группа шпионов, связанная с Китаем, провела более года внутри медицинских, академических и военных исследовательских сетей Северной Америки, похищая конфиденциальные данные и электронные письма обороны. Нападающие проникли через заднюю дверь на серверах исследований REDCap. Метод эксфиляции оказался необычным: они перепрограммировали собственные правила Google Workspace жертв, чтобы копировать соответствующие сообщения в почтовый ящик, который они контролировали.

      Группа угроз Google представила кампанию в отчете, опубликованном на этой неделе, с высокой степенью уверенности приписав ее кластеру, который отслеживает как UNC6508. Жертвами стали клинические поставщики, академические центры, военные медицинские учреждения, группы защиты прав и регулирующие органы здравоохранения по всей территории США и Канады. Google сообщает, что уведомила затронутые организации и нарушила инфраструктуру группы.

      UNC6508 — это не новое название. Google впервые упомянула группу в феврале в более широком отчете о атаках, поддерживаемых государством, против оборонного сектора. Новым является полная картина того, как группа действовала, оказавшись внутри.

      Точкой входа стал REDCap, сокращение от Research Electronic Data Capture, веб-платформа, которую больницы и университеты используют для создания и управления базами данных клинических исследований. UNC6508 скомпрометировала открытые серверы REDCap. Google не идентифицировала начальный вектор доступа, не назвала конкретную уязвимость (CVE) и не перечислила затронутые версии, хотя наблюдала, как группа исследовала старые уязвимые установки.

      Примерно через три месяца после первоначальной компрометации группа развернула пользовательское вредоносное ПО, которое Google называет INFINITERED. Вредоносное ПО подменяет собственные системные файлы REDCap и выполняет три действия: оно перехватывает процесс обновления, так что каждая новая версия REDCap повторно внедряет код вместо его удаления, собирает имена пользователей и пароли со страницы входа и хранит их в зашифрованном виде в локальных таблицах базы данных, а также действует как задняя дверь, принимая команды через HTTP-куки при каждой загрузке страницы.

      Самая ранняя известная компрометация датируется сентябрем 2023 года, а активность продолжалась до ноября 2025 года. Оказавшись на сервере, UNC6508 проводила внутреннюю разведку и поиск учетных данных, извлекая учетные данные базы данных и сервисных аккаунтов. Эти логины позволили осуществить боковое перемещение в внутреннюю сеть и в конечном итоге к учетной записи администратора домена. Google не описывает точный путь к доступу администратора.

      С правами администратора группа настроила метод эксфиляции, который не требовал дополнительного вредоносного ПО. UNC6508 злоупотребила правилами соблюдения содержания, легитимной функцией Google Workspace, которая сканирует электронную почту на наличие ключевых слов и может копировать или пересылать соответствующие сообщения. Группа создала правило с ошибочно написанным словом «Patroit», которое отслеживало почти 150 ключевых слов, поисковых запросов и адресов электронной почты. Когда сообщение соответствовало, Workspace тихо отправляло его в скрытую копию на адрес Gmail, контролируемый злоумышленниками.

      Никакого вредоносного ПО на почтовом сервере, никакого отдельного инструмента эксфиляции, никакого необычного сетевого трафика. Просто встроенная административная функция, обращенная против организации, которая на нее полагалась. Google с тех пор отключила адрес Gmail.

      MITRE уже каталогизирует злоупотребление правилами пересылки электронной почты как известную технику под T1114.003. То, что Google отмечает как новое, — это использование правил соблюдения содержания на уровне домена для достижения того же результата, метод, который, по его словам, ранее не наблюдался от акторов, связанных с Китаем.

      Список ключевых слов правила соответствовал приоритетам сбора UNC6508: геостратегическая политика, военная стратегия и оборудование, передовые технологии, включая ИИ и беспилотные транспортные средства, наступательные киберпрограммы и медицинские исследования. Один термин выделялся своей специфичностью — чикунгунья, вирус, переносимый комарами, который стал причиной крупной вспышки в 2025 году в провинции Гуандун в Китае, заразившей более 16 000 человек.

      Кампания иллюстрирует более широкую тенденцию. ShinyHunters недавно использовали незащищенную уязвимость нулевого дня Oracle PeopleSoft для взлома более 100 организаций, две трети из которых составляют университеты. В обоих случаях злоумышленники нацеливались на корпоративное программное обеспечение, от которого зависят исследовательские учреждения, и жертвы имели ограниченную видимость компрометации, пока внешняя сторона не раскрыла это.

      Техника Google Workspace особенно тревожна, потому что она оставляет почти никаких судебных следов на самой почтовой системе. Когда хакеры взломали Европейскую комиссию через отравленную версию инструмента безопасности Trivy, атака, по крайней мере, сгенерировала аномальный сетевой трафик, который в конечном итоге вызвал тревогу. Подход UNC6508 не сгенерировал ничего, потому что копирование электронной почты выполнялось легитимной системной функцией, работающей точно так, как задумано.

      Рекомендации Google конкретны. Обновите открытые серверы REDCap и полностью удалите старые версии, потому что REDCap позволяет запускать устаревшие установки наряду с текущими, что позволяет проводить атаки с понижением версии. Проверьте правила соблюдения содержания Google Workspace и правила пересылки почты на наличие всего, что BCC или перенаправляет электронную почту на внешние адреса. Проверьте журналы аудита администратора на предмет изменений правил, а не только на то, что они в настоящее время говорят. Ищите INFINITERED, используя опубликованные индикаторы GTIG. И внедрите устойчивую к фишингу многофакторную аутентификацию на учетных записях администраторов, поскольку весь шаг кражи электронной почты зависел от доступа администратора.

      Google все еще не знает, как UNC6508 впервые достигла серверов REDCap. Этот пробел менее важен, чем более широкий урок: как только злоумышленники получают доступ администратора к облачной системе электронной почты, встроенная функция может тихо стать каналом эксфиляции. Задняя дверь REDCap позволила им войти. Правило Google Workspace вывело данные. Защитники должны проверить оба.