Un grupo de espionaje vinculado a China se ocultó dentro de las redes de investigación médica, académica y militar de América del Norte durante más de un año, robando silenciosamente correos electrónicos confidenciales de investigación y defensa.
La entrada era una puerta trasera en su Mozo de estación Servidores de investigación que robaron credenciales de inicio de sesión. La exfiltración fue la parte inusual: los atacantes reconfiguraron las propias reglas de Google Workspace de las víctimas para copiar cualquier mensaje que coincidiera con sus palabras clave a una bandeja de entrada que controlaban.
El Threat Intelligence Group (GTIG) de Google presentó la campaña en un informe publicado esta semana y lo atribuye con alto nivel de confianza a un grupo que rastrea como UNC6508.
El actor y su puerta trasera REDCap no son nombres nuevos; Google sacó a la luz ambas cosas por primera vez en febrero, en un informe más amplio sobre ataques respaldados por el Estado contra el sector de defensa. No nombró a las víctimas, sino que las describió únicamente como múltiples organizaciones en Estados Unidos y Canadá: proveedores clínicos, centros académicos, instituciones de salud militares, grupos de defensa y reguladores de salud.
Google dice que les notificó e interrumpió la infraestructura del grupo.
¿Cómo entraron?
El punto de entrada fue Mozo de estación (Research Electronic Data Capture), una plataforma web que utilizan hospitales y universidades para crear y gestionar bases de datos de estudios. UNC6508 comprometió servidores REDCap externos.
Google no ha precisado el vector de acceso inicial, no ha nombrado un CVE específico ni ha enumerado las versiones afectadas, aunque vio que el grupo investigaba las versiones más antiguas y vulnerables.
Aproximadamente tres meses después de ingresar, el grupo implementó llamadas GTIG de malware personalizadas. INFINITERADOque troyaniza los propios archivos del sistema de REDCap y hace tres cosas.
- Primero, secuestra el proceso de actualización para que cada nueva versión de REDCap reinyecte el código en lugar de borrarlo.
- En segundo lugar, recopila nombres de usuario y contraseñas de la página de inicio de sesión y los almacena, cifrados, en tablas de bases de datos locales.
- En tercer lugar, actúa como una puerta trasera, recibiendo comandos a través de cookies HTTP y ejecutándose en cada carga de página.
El primer compromiso conocido data de septiembre de 2023, y la actividad continuó hasta noviembre de 2025. Una vez en el servidor, UNC6508 ejecutó reconocimiento interno y descubrimiento de credenciales, extrayendo las credenciales de la base de datos y de la cuenta de servicio, luego usó esos inicios de sesión para pasar a la red interna y a una cuenta de administrador de dominio.
Google no explica la ruta exacta a esa cuenta de administrador. Con derechos de administrador, el grupo configuró la exfiltración.
Cómo robaron el correo electrónico
La exfiltración se basó en una característica que ya estaba allí. UNC6508 abusó de las reglas de cumplimiento de contenido, una función de administración legítima de Google Workspace que escanea el correo en busca de palabras clave y puede copiar o reenviar mensajes coincidentes.
Existen características similares en otras suites de correo en la nube. El grupo creó una regla, mal escrita «Patroit», que analizaba casi 150 palabras clave, términos de búsqueda y direcciones de correo electrónico. Cuando un mensaje coincidía, Workspace lo enviaba silenciosamente a una dirección de Gmail controlada por un atacante, que desde entonces Google ha desactivado. Sin malware en el servidor de correo, sin herramienta de exfiltración independiente, sin tráfico de red inusual. Solo una función de correo incorporada, destinada a copiar los secretos de la organización a una bandeja de entrada de propiedad de los atacantes.
MITRE ya cataloga Abuso de reglas de reenvío de correo electrónico como técnica conocida. Lo que GTIG señala como nuevo aquí es el uso de reglas de cumplimiento de contenido de dominio para hacerlo, un método que, según dice, no había visto antes en un actor vinculado a China.
Las palabras clave de la regla se corresponden con las prioridades de recopilación de UNC6508: política geoestratégica, estrategia y equipo militar, tecnología avanzada que incluye inteligencia artificial y vehículos no tripulados, programas cibernéticos ofensivos e investigación médica. Un término destacó por su especificidad, chikunguñael virus transmitido por mosquitos detrás de un brote en 2025 en la provincia china de Guangdong.
que hacer
Comience con REDCap. Parchee los servidores externos y elimine las versiones antiguas directamente, no solo junto con la versión actual. REDCap permite que las versiones heredadas se ejecuten en paralelo, y eso es lo que permite los ataques de degradación, donde un atacante fuerza al software a volver a una versión vulnerable conocida.
Luego revisa el lado del correo. Revise las reglas de cumplimiento de contenido y reenvío de correo de Workspace, o su equivalente, para detectar cualquier cosa que haga CCO o redirija el correo a direcciones externas. Consulte los registros de auditoría del administrador para saber cuándo cambiaron las reglas, no solo lo que dicen ahora. Extraiga los indicadores publicados de GTIG y busque INFINITERED. Y coloque MFA resistente al phishing en las cuentas de administrador, ya que todo el paso del robo de correo dependía del acceso del administrador.
Google todavía no sabe cómo llegó UNC6508 por primera vez a los servidores REDCap. La parte que vale la pena observar es la regla del correo. Una vez que los atacantes obtienen acceso de administrador, una función incorporada en la nube puede convertirse silenciosamente en una ruta de exfiltración, y eso es lo que los defensores deben auditar, no solo la puerta trasera de REDCap.
