Espionaje chino en redes académicas y militares: cómo hackers usaron Google Workspace para robar correos sensibles durante dos años

Un grupo de ciberespionaje vinculado a China logró infiltrarse en redes de instituciones académicas, médicas y militares en Norteamérica durante más de dos años, robando correos electrónicos sensibles sin levantar sospechas. Según un informe técnico, los atacantes no solo accedieron a los sistemas, sino que reconfiguraron las reglas de Google Workspace para copiar automáticamente los mensajes que contenían términos clave y enviarlos a una bandeja de entrada controlada por ellos. El método, que combinó un malware personalizado y el abuso de funciones legítimas de Google, pasó desapercibido durante meses y permitió la extracción masiva de información sin necesidad de exfiltración tradicional.

El incidente, atribuido con alta confianza a un actor conocido como UNC6508, destaca cómo los grupos de espionaje estatal aprovechan vulnerabilidades en herramientas ampliamente utilizadas por sectores críticos. Aunque Google no ha revelado detalles específicos sobre las versiones afectadas de REDCap o los vectores iniciales de acceso, el informe sugiere que los atacantes explotaron servidores REDCap expuestos en internet, posiblemente con configuraciones inseguras o versiones desactualizadas. La campaña, que comenzó en septiembre de 2023 y continuó hasta noviembre de 2025, demuestra que el espionaje cibernético ya no depende únicamente de exploits sofisticados, sino también de la manipulación de herramientas legítimas y la ingeniería social para mantener la persistencia en redes de alto valor.

La puerta de entrada: un malware en servidores REDCap

Los atacantes accedieron inicialmente a los entornos de víctimas en Estados Unidos y Canadá mediante la explotación de servidores REDCap, una plataforma ampliamente utilizada en el ámbito médico, académico y de investigación para gestionar bases de datos de estudios clínicos. REDCap (Research Electronic Data Capture) permite a hospitales, universidades y centros de investigación crear formularios personalizados para recopilar datos sensibles, desde historiales médicos hasta resultados de ensayos clínicos. Aunque no se ha identificado un CVE específico ni versiones afectadas, Google indicó que los atacantes buscaron servidores con versiones antiguas o configuraciones inseguras, lo que sugiere que el acceso inicial pudo deberse a fallos en la administración de estos sistemas.

Una vez dentro, los atacantes desplegaron un malware personalizado llamado INFINITERED por Google, que se camufló como parte de los archivos del propio REDCap. Este software malicioso no solo les permitió mantener el acceso, sino que también facilitó la recolección de credenciales internas. Según el informe, UNC6508 ejecutó reconocimiento interno y descubrió credenciales de bases de datos y cuentas de servicio, lo que les permitió moverse lateralmente dentro de la red. El siguiente paso fue escalar privilegios hasta alcanzar una cuenta de administrador de dominio, un objetivo común en ataques de espionaje, ya que proporciona acceso a múltiples sistemas y datos críticos.

Para los administradores de sistemas en instituciones académicas y médicas, este caso subraya la importancia de mantener actualizados los servidores REDCap y revisar periódicamente su configuración. Muchas organizaciones implementan REDCap con permisos excesivos o sin autenticación multifactor, lo que facilita el acceso no autorizado. Además, el malware INFINITERED demuestra que los atacantes no solo buscan explotar fallos técnicos, sino también aprovechar la confianza en herramientas internas para pasar desapercibidos durante largos periodos.

El robo de correos: cómo Google Workspace fue reconfigurado para el espionaje

Lo más llamativo de esta campaña no fue solo la infiltración, sino el método de exfiltración de datos. En lugar de utilizar canales tradicionales como túneles cifrados o transferencias a servidores externos, los atacantes manipularon una función legítima de Google Workspace para copiar automáticamente los correos que contenían términos específicos. Esta técnica, conocida como "reglas de cumplimiento de contenido", está diseñada para ayudar a las organizaciones a filtrar mensajes con palabras clave, bloquear spam o cumplir con normativas de retención. Sin embargo, UNC6508 la reconfiguró para su beneficio.

Los atacantes crearon una regla mal escrita —con un error ortográfico en la palabra "patriot" ("Patroit")— que monitoreaba el tráfico de correo en busca de casi 150 términos, frases y direcciones de correo relacionadas con investigación militar, académica y de defensa. Cuando un mensaje coincidía con alguno de estos criterios, Google Workspace lo enviaba automáticamente en copia oculta (BCC) a una bandeja de entrada controlada por los atacantes. Este método es especialmente peligroso porque no requiere malware adicional en los dispositivos de los usuarios finales: la exfiltración ocurre en el servidor, lo que la hace más difícil de detectar para los equipos de seguridad.

Este enfoque refleja una tendencia creciente en el ciberespionaje: el abuso de herramientas legítimas para evadir controles de seguridad. Plataformas como Microsoft 365 y Google Workspace ofrecen funcionalidades avanzadas de automatización y filtrado que, en manos de actores maliciosos, se convierten en vectores de ataque. Para las víctimas, el desafío es doble: no solo deben protegerse contra intrusiones, sino también monitorizar el uso anómalo de las reglas de correo y otras configuraciones administrativas. Empresas y organizaciones deben revisar periódicamente las reglas de cumplimiento en sus suites de correo y asegurarse de que solo el personal autorizado pueda modificarlas.

El perfil del atacante: UNC6508 y su historial de espionaje

Google atribuye esta campaña a UNC6508, un grupo de ciberespionaje vinculado a China que ha sido observado en campañas anteriores dirigidas contra el sector de defensa. Según el informe, este actor ya había sido documentado en febrero del mismo año en un informe más amplio sobre ataques estatales contra instituciones militares. Aunque Google no reveló los nombres de las víctimas, describió a las organizaciones afectadas como proveedores clínicos, centros académicos, instituciones de salud militar, grupos de defensa y reguladores sanitarios en EE.UU. y Canadá.

La elección de UNC6508 de centrarse en sectores como la salud y la defensa no es casual. Las instituciones académicas y médicas manejan datos valiosos, desde información de pacientes hasta investigaciones clasificadas o en desarrollo. Además, los servidores REDCap suelen contener datos sensibles que no están necesariamente protegidos por los mismos niveles de seguridad que los sistemas militares o gubernamentales tradicionales. Esto los convierte en objetivos atractivos para actores que buscan información estratégica sin llamar la atención.

Para los equipos de inteligencia y seguridad, este caso refuerza la necesidad de adoptar un enfoque de "defensa en profundidad", que combine la monitorización de endpoints, la revisión de reglas de correo y la detección de comportamientos anómalos en cuentas con privilegios elevados. Dado que UNC6508 ha demostrado capacidad para mantener la persistencia durante largos periodos, las organizaciones deben implementar controles como la segmentación de redes, la rotación periódica de credenciales y la auditoría continua de accesos inusuales.

Lecciones para organizaciones: cómo evitar caer en tácticas similares

El caso de UNC6508 ofrece varias lecciones prácticas para organizaciones que manejan datos sensibles, especialmente aquellas que utilizan herramientas como REDCap o suites de correo en la nube. En primer lugar, es crucial mantener todos los sistemas actualizados y aplicar parches de seguridad de manera oportuna. Aunque Google no especificó qué versiones de REDCap fueron explotadas, es una práctica común que los atacantes busquen servidores con software desactualizado para facilitar su acceso inicial.

En segundo lugar, las organizaciones deben implementar autenticación multifactor (MFA) en todos los sistemas críticos, incluyendo servidores REDCap y cuentas de administrador de dominio. El malware INFINITERED pudo moverse lateralmente dentro de las redes porque los atacantes obtuvieron credenciales de cuentas con permisos elevados. La MFA añade una capa adicional de seguridad que dificulta el uso de credenciales robadas. Además, se recomienda limitar los permisos de las cuentas de servicio y revisar periódicamente los accesos otorgados a terceros o aplicaciones internas.

Otra medida clave es la monitorización de las reglas de cumplimiento en Google Workspace o Microsoft 365. Los equipos de seguridad deben auditar regularmente las reglas creadas por los administradores y detectar cualquier configuración inusual o mal escrita. En este caso, el error ortográfico en la palabra "patriot" podría haber sido una pista temprana de actividad sospechosa. Implementar alertas automáticas para cambios en las reglas de correo o en la creación de nuevas cuentas de correo externas también puede ayudar a identificar comportamientos maliciosos antes de que se produzca una filtración masiva.

El impacto en la ciberseguridad global y el futuro del espionaje cibernético

Este incidente no es un caso aislado, sino parte de una tendencia más amplia en la que los actores estatales aprovechan herramientas legítimas y técnicas de bajo ruido para llevar a cabo operaciones de espionaje. A diferencia de los ataques destructivos o los ransomware, que buscan notoriedad, el ciberespionaje suele operar en silencio, con el objetivo de mantener el acceso durante meses o incluso años. La manipulación de reglas de correo en Google Workspace es solo un ejemplo de cómo los atacantes pueden evadir las defensas tradicionales, que a menudo se centran en detectar malware o tráfico malicioso en lugar de comportamientos anómalos en herramientas legítimas.

Para los gobiernos y las empresas, esto representa un desafío creciente en la ciberseguridad. Las suites de correo y las plataformas de gestión de datos no son solo herramientas de productividad, sino también potenciales vectores de ataque si no se configuran y monitorizan correctamente. La respuesta no puede limitarse a parches y firewalls; se requiere una estrategia integral que incluya la formación de empleados, la auditoría continua de configuraciones y la adopción de tecnologías de detección de anomalías basadas en inteligencia artificial.

Además, este caso subraya la importancia de la colaboración entre el sector privado y los gobiernos para compartir información sobre amenazas. Google, al publicar un informe detallado sobre UNC6508, no solo alertó a las víctimas potenciales, sino que también proporcionó a otras organizaciones herramientas para detectar y mitigar este tipo de ataques. En un panorama de amenazas en constante evolución, la transparencia y el intercambio de inteligencia son clave para reducir el impacto de estas campañas.

Qué deben hacer las víctimas y el público en general

Para las organizaciones que creen haber sido comprometidas, el primer paso es realizar una auditoría exhaustiva de sus servidores REDCap, cuentas de correo y reglas de Google Workspace o Microsoft 365. Esto incluye revisar los logs de acceso, identificar cuentas con comportamientos inusuales y verificar si se han creado reglas de cumplimiento no autorizadas. En casos de compromiso confirmado, se recomienda revocar todas las credenciales sospechosas, cambiar las contraseñas de las cuentas administrativas y desinfectar los sistemas afectados con herramientas forenses.

Para el público en general, especialmente aquellos vinculados a instituciones académicas o médicas, es importante estar consciente de los riesgos asociados con el manejo de datos sensibles. Aunque la mayoría de los usuarios finales no tienen control sobre las configuraciones de los servidores o las reglas de correo, pueden contribuir a la seguridad reportando cualquier actividad sospechosa, como correos no solicitados o intentos de phishing. La concienciación sobre ciberseguridad sigue siendo una de las defensas más efectivas contra este tipo de amenazas.

Finalmente, este caso sirve como recordatorio de que el ciberespionaje no es un problema exclusivo de gobiernos o grandes corporaciones. Instituciones académicas, centros médicos y pequeñas empresas también son objetivos atractivos para actores maliciosos. La inversión en seguridad no debe ser vista como un gasto, sino como una necesidad para proteger la información crítica y mantener la confianza de pacientes, estudiantes y socios comerciales.