Agentes ligados ao governo da China mantiveram acesso prolongado a redes de organizações de pesquisa médica e militar na América do Norte, operando sem detecção por mais de um ano. Segundo relatório do Google Threat Intelligence Group, o grupo, identificado como UNC6508, utilizou malware customizado para comprometer credenciais e monitorar caixas de entrada de e-mail em busca de dados estratégicos.

A campanha, detectada inicialmente no início de 2025, remonta a pelo menos setembro de 2023. O vetor de entrada consistiu na exploração de servidores REDCap, ferramentas amplamente adotadas por instituições acadêmicas e de saúde para o gerenciamento de dados clínicos. A sofisticação da operação permitiu que os invasores coletassem informações que variam de tecnologia de drones a patógenos virais.

Mecanismo de persistência e infiltração

O grupo utilizou uma ferramenta de malware denominada InfiniteRed para assegurar presença persistente nos sistemas comprometidos. O software opera de forma modular, injetando código em versões atualizadas do REDCap e implementando um coletor de credenciais diretamente no sistema de autenticação. Esse mecanismo permitiu que os atacantes capturassem logins de administradores para escalar privilégios dentro das redes internas das vítimas.

Uma vez dentro, os invasores configuraram regras de conformidade de domínio em ambientes como o Google Workspace. Essas regras, originalmente destinadas ao gerenciamento de e-mails corporativos, foram manipuladas para realizar o encaminhamento oculto de mensagens que continham palavras-chave específicas. Sob o nome interno de "Patroit", o filtro enviava comunicações sigilosas para uma conta externa, garantindo um fluxo constante de dados de inteligência aos atacantes.

O alcance da coleta de dados

O escopo dos termos de busca utilizados pelos invasores revela uma estratégia de coleta de dados diversificada. Além de informações sobre tecnologia de defesa e plataformas militares, os agentes monitoraram pesquisas sobre o vírus Chikungunya, possivelmente devido à relevância epidemiológica recente na província chinesa de Guangdong. A abrangência dos alvos sugere que o grupo buscava tanto avanços tecnológicos quanto dados estratégicos de saúde pública.

A análise do Google aponta que a escolha de instituições médicas como alvo principal para a busca de tecnologia militar pode indicar uma estratégia de rede ampla. A hipótese é que essas instituições, frequentemente colaboradoras de agências governamentais, funcionem como nós de comunicação onde informações sensíveis de diferentes esferas acabam convergindo, facilitando a interceptação por atores estatais.

Implicações para a segurança institucional

A infiltração em instituições de saúde e pesquisa levanta preocupações sobre a segurança de infraestruturas críticas que não pertencem ao setor de defesa tradicional. A capacidade de um ator estatal explorar vulnerabilidades em softwares de nicho, como o REDCap, demonstra que a fronteira entre pesquisa acadêmica e segurança nacional tornou-se altamente porosa, exigindo protocolos de monitoramento mais rigorosos em ambientes de pesquisa.

Para o ecossistema de tecnologia, o caso reforça a necessidade de auditorias contínuas em ferramentas administrativas de terceiros. A exploração de funcionalidades legítimas, como regras de conformidade de e-mail, para fins de exfiltração de dados, sublinha um desafio crescente: a proteção contra o uso malicioso de ferramentas de produtividade configuradas incorretamente ou comprometidas por privilégios administrativos.

Perspectivas de monitoramento

O Google notificou as organizações identificadas e prestou assistência na remoção do malware, mas a extensão total da campanha permanece sob investigação. A suspeita é de que o número de vítimas possa ser superior ao mapeado inicialmente, dado o longo período de atividade silenciosa do grupo UNC6508.

O monitoramento futuro dependerá da capacidade das instituições em detectar comportamentos anômalos em ferramentas de colaboração e servidores de pesquisa. A vigilância sobre o uso de credenciais administrativas e a revisão de regras de encaminhamento de e-mail tornam-se, assim, elementos fundamentais para prevenir futuras operações de espionagem cibernética desta natureza.

A complexidade da operação levanta questões sobre o nível de exposição de dados sensíveis em redes de pesquisa e como a colaboração internacional pode mitigar riscos de espionagem. O caso permanece como um exemplo crítico de como a segurança de dados exige atenção constante em todos os níveis da infraestrutura digital.

Com reportagem de Brazil Valley

Source · The Register