Um grupo ligado à China desviou, por mais de um ano, emails de organizações médicas, acadêmicas e de defesa após invadir servidores REDCap e abusar de regras de conformidade do Google Workspace. A campanha, atribuída pela Google Threat Intelligence Group à UNC6508, combinou roubo de credenciais, persistência em aplicações de pesquisa e cópia silenciosa de mensagens estratégicas.
Resumo:
- O acesso inicial ocorreu em servidores REDCap expostos.
- Os atacantes instalaram o backdoor INFINITERED para roubo de credenciais.
- Depois, criaram regras no Workspace para copiar emails por palavra-chave.
Entrada pelo REDCap
Segundo a Google, a campanha começou com comprometimento de servidores REDCap acessíveis pela internet. O REDCap é amplamente usado por universidades, hospitais e centros de pesquisa para formulários e bancos de dados de estudos. Depois de entrar, a UNC6508 instalou o malware INFINITERED, que modifica arquivos do próprio REDCap para sobreviver a upgrades, capturar logins na página de autenticação e aceitar comandos transmitidos por cookies HTTP.
Essa mecânica importa por um motivo simples: o backdoor não ficou restrito ao roubo inicial de usuário e senha. Ao persistir dentro do fluxo normal de atualização do REDCap, ele transformou a aplicação em ponto duradouro de observação. Em seguida, os atacantes fizeram reconhecimento interno, coletaram credenciais de banco de dados e contas de serviço e avançaram até privilégios administrativos. O padrão ecoa alertas do site sobre limites de controles isolados quando o invasor chega às credenciais certas.
| Fase | Período | Ação observada |
|---|---|---|
| Acesso inicial | Set. 2023 | Comprometimento de servidores REDCap expostos |
| Persistência | 2024-2025 | Implantação do INFINITERED e coleta de credenciais |
| Exfiltração | 2024-2025 | Criação de regra no Workspace para copiar emails estratégicos |
| Divulgação | Jun. 2026 | Google detalha publicamente a operação atribuída à UNC6508 |
Regras no Workspace
O ponto mais incomum da operação veio depois do acesso administrativo. Em vez de exfiltrar grandes volumes por canal próprio, a UNC6508 usou um recurso legítimo do Google Workspace: regras de conformidade de conteúdo. Os invasores criaram uma regra chamada “Patroit” para monitorar quase 150 palavras-chave, termos de busca, endereços de email e números de telefone. Quando uma mensagem combinava com esse filtro, o sistema a copiava silenciosamente para uma caixa controlada pelo grupo.
Essa escolha reduz ruído. Não há malware no servidor de email, nem uma transferência ostensiva para infraestrutura estranha. Há apenas um fluxo administrativo aparentemente normal produzindo cópias invisíveis de conversas estratégicas. Os temas buscados, segundo a Google e a Reuters, incluíam política geoestratégica, estratégia militar, inteligência de defesa, veículos não tripulados, programas ofensivos de cibersegurança, inteligência artificial e pesquisa médica. O caso também reforça o valor de revisar recursos nativos de plataformas em nuvem, assim como já ocorreu em incidentes envolvendo abuso de serviços do próprio ecossistema Google.
O que revisar
O primeiro passo é tratar REDCap legado como superfície prioritária. A Google recomenda remover versões antigas, não apenas instalar uma nova ao lado delas, porque a coexistência abre espaço para downgrade e reintrodução do componente vulnerável. Em paralelo, equipes devem caçar artefatos do INFINITERED, revisar arquivos do sistema da aplicação que não deveriam ter sido alterados e mapear credenciais capturadas a partir do servidor comprometido.
No Workspace, a ação mais útil é auditar imediatamente regras de conformidade, encaminhamento e BCC automático criadas por administradores, procurando destinos externos e filtros muito amplos ou muito específicos. Vale buscar pelo nome “Patroit”, mas não se limitar a ele. Também faz sentido cruzar alterações nessas regras com logs administrativos e ativar MFA resistente a phishing para contas que podem editar políticas de correio. Em operações baseadas em nuvem, a ameaça não está só no malware; está também no administrador que o invasor improvisa, lição próxima da discutida em ataques de roubo de sessão e abuso de acesso válido.
Fontes
As informações foram consolidadas a partir do relatório da Google Threat Intelligence Group sobre ameaças ao setor de defesa, do resumo técnico publicado pelo The Hacker News e da reportagem da Reuters distribuída pela BNN Bloomberg, que acrescenta cronologia e áreas de interesse monitoradas na campanha.