Una función integrada de Google Workspace se ha convertido en la herramienta de extorsión favorita de un grupo de espías chino
TL; DR
Los servidores REDCap UNC6508 vinculados a China en instituciones de investigación de EE. UU. y Canadá utilizaron las reglas de correo de Google Workspace para robar correos electrónicos.
Un grupo de espías vinculado a China ha pasado más de un año infiltrándose en redes de investigación médica, académica y militar de América del Norte, robando información confidencial y correos electrónicos de defensa. Los atacantes obtuvieron acceso a los servidores de RedCap Research a través de una puerta trasera. El método de exfiltración fue la parte inusual: reconfiguraron las reglas de Google Workspace de las propias víctimas para copiar los mensajes coincidentes a una bandeja de entrada que controlaban.
El Threat Intelligence Group de Google destacó la campaña en un informe publicado esta semana, atribuyéndola con gran confianza a un grupo rastreado como UNC6508. Las víctimas abarcaban desde proveedores clínicos, centros académicos, instituciones de salud militares, grupos de defensa y reguladores de salud en todo Estados Unidos y Canadá. Google dijo que había notificado a las empresas afectadas y había interrumpido la infraestructura del grupo.
UNC6508 no es un nombre nuevo. Google reveló al grupo por primera vez en febrero en un informe completo sobre ataques patrocinados por el Estado contra el sector de defensa. Lo nuevo es una imagen completa de cómo operaba el grupo en su interior.
Espacio de coworking de TNW City: donde ocurre tu mejor trabajo
Un espacio de trabajo diseñado para el crecimiento, la colaboración y un sinfín de oportunidades de networking en el corazón de la tecnología.
El punto de entrada fue REDCap, abreviatura de Research Electronic Data Capture, una plataforma web utilizada por hospitales y universidades para crear y gestionar bases de datos de estudios clínicos. UNC6508 Servidor REDCap encontrado externamente. Google no ha identificado el vector de acceso inicial, no ha nombrado un CVE específico ni ha enumerado la versión afectada, aunque sí probó las instalaciones vulnerables más antiguas del grupo.
Aproximadamente tres meses después del compromiso inicial, el grupo implementó malware personalizado que Google llamó INFINITERED. El malware troyaniza los propios archivos del sistema de REDCap y hace tres cosas: secuestra el proceso de actualización para que cada nueva versión de REDCap reinyecte el código en lugar de borrarlo, recopila nombres de usuario y contraseñas de la página de inicio de sesión y los almacena cifrados en una tabla de base de datos local, y actúa como una puerta trasera en cada página HTTP que recibe la página de Cook.
La primera fecha de liquidación conocida fue septiembre de 2023, y las operaciones continuaron hasta noviembre de 2025. Una vez en el servidor, el UNC6508 realiza reconocimiento interno y descubrimiento de certificados, recopilando credenciales de bases de datos y cuentas de servicio. Estos inicios de sesión permiten el movimiento lateral a la red interna y, eventualmente, a una cuenta de administrador de dominio. Google no describe la ruta exacta para el acceso de administrador.
Con derechos de administrador, el grupo configuró un método de exfiltración que no requería malware adicional. UNC6508 Regla de cumplimiento de contenido abusivo, una función válida de Google Workspace que escanea el correo electrónico en busca de palabras clave y puede copiar o reenviar mensajes coincidentes. El grupo hizo una regla, escribiendo mal "patrocinador,” que analizó alrededor de 150 palabras clave, términos de búsqueda y direcciones de correo electrónico. Cuando llega un mensaje, Workspace lo envía silenciosamente a una dirección de Gmail controlada por el atacante.
Sin malware en el servidor de correo, sin herramientas de exfiltración independientes, sin tráfico de red inusual. Sólo una función administrativa incorporada se vuelve contra las organizaciones que dependen de ella. Desde entonces, Google ha desactivado la dirección de Gmail.
MITRE ya enumera el abuso de las reglas de reenvío de correo electrónico como una técnica conocida en T1114.003. Lo que Google considera novedoso es el uso de reglas de cumplimiento de contenido a nivel de dominio para lograr el mismo resultado, un enfoque que dice no haber observado previamente por parte de un actor vinculado a China.
La lista de palabras clave de la regla se asigna a las prioridades de adquisición de UNC6508: política geoestratégica, tácticas y equipos militares, tecnologías avanzadas que incluyen inteligencia artificial y vehículos no tripulados, programas cibernéticos ofensivos e investigación médica. Un término representa su especificidad: chikungunya, el virus transmitido por mosquitos detrás de un importante brote en 2025 en la provincia china de Guangdong que infectó a más de 16.000 personas.
La campaña ilustra un patrón amplio. ShinyHunters utilizó recientemente un día cero de Oracle PeopleSoft sin modificar para violar más de 100 organizaciones, dos tercios de ellas universidades. En ambos casos, los atacantes apuntaron al software empresarial del que dependen las instituciones de investigación, y las víctimas tenían una visibilidad limitada del compromiso hasta que un tercero lo reveló.
La estrategia de Google Workspace es particularmente preocupante porque casi no deja rastros forenses en el sistema de correo. Cuando los piratas informáticos irrumpieron en la Comisión Europea con una versión envenenada de la herramienta de seguridad Trivi, el ataque al menos generó un tráfico de red inusual que finalmente activó la alerta. El enfoque de UNC6508 no produjo ninguno, porque la copia de correo electrónico se realizó mediante una característica válida del sistema que era exactamente como se diseñó.
Las recomendaciones de Google son específicas. Parche los servidores REDCap externos y elimine por completo las versiones anteriores, ya que REDCap permite que las instalaciones heredadas se ejecuten junto con las actuales, lo que permite ataques de degradación. Revise el cumplimiento del contenido de Google Workspace y las reglas de reenvío de correo para cualquier cosa que haga CCO o redirija el correo electrónico a una dirección externa. Verifique los registros de auditoría del administrador para saber cuándo han cambiado las reglas, no solo lo que dicen actualmente. Busque INFINITERED usando los índices publicados de GTIG e implemente MFA resistente al phishing en las cuentas de administrador, ya que todo el proceso de robo de correo electrónico depende del acceso del administrador.
Google todavía no sabe cómo llegó UNC6508 al primer servidor REDCap. Esta brecha es menos importante que la lección más amplia: una vez que los atacantes retienen el acceso de administrador a un sistema de correo electrónico en la nube, una característica incorporada puede convertirse silenciosamente en un canal de exfiltración. La puerta trasera REDCap los insertó. Google Workspace descarta los datos que los defensores necesitan para auditar ambos.
