Een aan China gelieerde spionagegroep verstopte zich meer dan een jaar in Noord-Amerikaanse medische, academische en militaire onderzoeksnetwerken en stal stilletjes gevoelige onderzoeks- en defensie-e-mail.
De weg naar binnen was een achterdeur voor hen ROODCap onderzoeksservers die inloggegevens hebben gestolen. De exfiltratie was het ongebruikelijke deel: de aanvallers pasten de eigen Google Workspace-regels van de slachtoffers opnieuw aan, zodat elk bericht dat met hun trefwoorden overeenkwam, naar de inbox die zij beheerden, werd gekopieerd.
Google’s Threat Intelligence Group (GTIG) heeft de campagne uiteengezet in een rapport dat deze week is gepubliceerd en schrijft deze met veel vertrouwen toe aan een cluster dat wordt gevolgd als UNC6508.
De acteur en zijn REDCap-achterdeur zijn geen nieuwe namen; Google dook beide voor het eerst op in februari, in een breder rapport over door de staat gesteunde aanvallen op de defensiesector. De namen van de slachtoffers werden niet genoemd, maar ze werden alleen beschreven als meerdere organisaties in de VS en Canada: klinische zorgverleners, academische centra, militaire gezondheidsinstellingen, belangengroepen en toezichthouders op het gebied van de gezondheidszorg.
Google zegt dat het hen op de hoogte heeft gesteld en de infrastructuur van de groep heeft verstoord.
Hoe ze binnenkwamen
Het instappunt was REDCap (Research Electronic Data Capture), een webplatform dat ziekenhuizen en universiteiten gebruiken om onderzoeksdatabases op te bouwen en te beheren. UNC6508 heeft extern gerichte REDCap-servers gecompromitteerd.
Google heeft de initiële toegangsvector niet vastgelegd, noch een specifieke CVE genoemd, noch de getroffen versies opgesomd, hoewel de groep wel oudere, kwetsbare versies heeft onderzocht.
Ongeveer drie maanden nadat de groep binnenkwam, implementeerde de groep aangepaste malware GTIG-oproepen ONEINDIGdat de eigen systeembestanden van REDCap trojaniseert en drie dingen doet.
- Ten eerste kaapt het het upgradeproces, zodat elke nieuwe REDCap-versie de code opnieuw injecteert in plaats van deze te wissen.
- Ten tweede verzamelt het gebruikersnamen en wachtwoorden van de inlogpagina en slaat deze gecodeerd op in lokale databasetabellen.
- Ten derde fungeert het als een achterdeur, neemt het opdrachten over via HTTP-cookies en wordt het uitgevoerd bij elke pagina die wordt geladen.
Het vroegst bekende compromis dateert van september 2023, waarbij de activiteit doorgaat tot en met november 2025. Eenmaal op de server voerde UNC6508 interne verkenning en identificatie uit, waarbij de gegevens van database- en serviceaccounts werden opgehaald en vervolgens die logins werden gebruikt om naar het interne netwerk te gaan en naar een domeinbeheerdersaccount.
Google geeft niet het exacte pad naar dat beheerdersaccount aan. Met beheerdersrechten heeft de groep de exfiltratie opgezet.
Hoe ze de e-mail hebben gestolen
De exfiltratie betrof een kenmerk dat er al was. UNC6508 misbruikte de content-complianceregels, een legitieme beheerdersfunctie van Google Workspace die e-mail scant op zoekwoorden en overeenkomende berichten kan kopiëren of doorsturen.
Soortgelijke functies bestaan in andere cloudmailsuites. De groep creëerde een regel, verkeerd gespeld als ‘Patroit’, die keek naar bijna 150 trefwoorden, zoektermen en e-mailadressen. Toen een bericht overeenkwam, stuurde Workspace het stil naar een door de aanvaller beheerd Gmail-adres, dat Google sindsdien heeft uitgeschakeld. Geen malware op de mailserver, geen aparte exfiltratietool, geen ongebruikelijk netwerkverkeer. Gewoon een ingebouwde e-mailfunctie, die werd gebruikt om de geheimen van de organisatie te kopiëren naar een inbox die de aanvallers bezaten.
MITRE catalogiseert misbruik van e-mail-doorstuurregels al als een bekende techniek. Wat GTIG hier als nieuw markeert, is het gebruik van regels voor de naleving van domeininhoud om dit te doen, een methode die het naar eigen zeggen nog niet eerder van een aan China gelieerde actor heeft gezien.
De trefwoorden van de regel zijn gekoppeld aan de verzamelingsprioriteiten van UNC6508: geostrategisch beleid, militaire strategie en uitrusting, geavanceerde technologie, waaronder AI en onbemande voertuigen, offensieve cyberprogramma’s en medisch onderzoek. Eén term viel op door zijn specificiteit: chikungunyahet door muggen overgebrachte virus dat in 2025 een uitbraak veroorzaakte in de Chinese provincie Guangdong.
Wat te doen
Begin met REDCap. Patch extern gerichte servers en verwijder oude versies direct, niet alleen naast de huidige build. REDCap laat oudere versies naast elkaar draaien, en dat maakt downgrade-aanvallen mogelijk, waarbij een aanvaller software terugdringt naar een bekende kwetsbare release.
Controleer dan de mailzijde. Bekijk de regels voor inhoudscompliance en het doorsturen van e-mail in Workspace (of een gelijkwaardige versie) voor alles dat e-mail in BCC plaatst of omleidt naar externe adressen. Controleer de auditlogboeken van beheerders om te zien wanneer de regels zijn gewijzigd, en niet alleen wat ze nu zeggen. Trek aan de gepubliceerde indicatoren van GTIG en zoek naar INFINITERED. En plaats phishing-bestendige MFA op beheerdersaccounts, aangezien de hele stap van e-maildiefstal afhing van beheerderstoegang.
Google weet nog steeds niet hoe UNC6508 voor het eerst de REDCap-servers bereikte. Het deel dat het bekijken waard is, is de e-mailregel. Zodra aanvallers beheerderstoegang hebben, kan een ingebouwde cloudfunctie stilletjes een exfiltratiepad worden, en dat is wat verdedigers moeten controleren, niet alleen de REDCap-achterdeur.
