Espionnage chinois : comment des pirates ont détourné Google Workspace pour voler des emails sensibles pendant plus d’un an

Au cours des dix-huit derniers mois, une campagne d’espionnage ciblant des institutions nord-américaines dans les secteurs de la santé, de la recherche académique et de la défense a exploité une faille inattendue : la configuration même de Google Workspace. Selon les détails publiés par une équipe d’intelligence menaces, un collectif lié à la Chine a compromis des serveurs REDCap, une plateforme largement utilisée pour gérer des bases de données de recherche, afin d’y installer un accès persistant. Une fois à l’intérieur, les attaquants ont non seulement siphonné des identifiants de connexion, mais ont aussi détourné une fonctionnalité légitime de Google Workspace pour rediriger automatiquement les emails contenant des mots-clés sensibles vers une boîte mail contrôlée par les pirates. Cette méthode, à la fois discrète et ingénieuse, a permis à l’opérateur de la campagne, désigné sous le nom UNC6508, de voler des données pendant plus d’une année sans déclencher d’alerte majeure. L’incident illustre comment des acteurs étatiques exploitent désormais des outils cloud légitimes pour contourner les protections traditionnelles, transformant des fonctionnalités administratives en vecteurs d’exfiltration.

Les victimes identifiées sont principalement des organisations américaines et canadiennes : cliniques, centres universitaires, instituts de recherche militaire, groupes de plaidoyer et régulateurs sanitaires. Aucune version spécifique de REDCap ou de vulnérabilité n’a été officiellement désignée, mais les investigations suggèrent que les attaquants ont exploité des instances exposées sur internet, probablement des versions obsolètes ou mal configurées. L’accès initial reste flou : il pourrait s’agir d’une exploitation de credentials faibles, d’une faille non corrigée, ou d’une compromission via un tiers. Une fois à l’intérieur du serveur REDCap, les attaquants ont déployé un malware personnalisé, baptisé INFINITERED par les analystes, qui modifie les fichiers système de REDCap pour s’intégrer durablement. Ce logiciel malveillant ne se contente pas de maintenir l’accès : il récupère des identifiants de bases de données et de comptes de service, puis les utilise pour escalader les privilèges jusqu’à obtenir un accès administrateur sur le domaine. Avec ces droits étendus, les pirates ont pu configurer des règles de conformité dans Google Workspace, une fonctionnalité conçue pour filtrer ou rediriger les emails selon des critères prédéfinis. C’est ainsi qu’ils ont transformé un outil de gestion du courrier en canal d’exfiltration silencieux.

Une infiltration en plusieurs étapes : de REDCap à l’administration du domaine

La campagne a débuté par une compromission initiale des serveurs REDCap, une plateforme open source largement adoptée dans le milieu médical et universitaire pour collecter et gérer des données de recherche. REDCap permet aux équipes de créer des formulaires en ligne et des bases de données sécurisées, souvent hébergées sur des serveurs internes ou cloud. Dans ce cas précis, les attaquants ont ciblé des instances exposées sur internet, probablement en raison d’une configuration laxiste ou d’un manque de mises à jour. Une fois le serveur compromis, les pirates ont déployé leur malware INFINITERED, qui s’installe en modifiant des fichiers système de REDCap, ce qui le rend difficile à détecter par les outils de sécurité standards. Ce logiciel malveillant agit comme un cheval de Troie : il ne se contente pas de maintenir l’accès, mais il collecte également des informations sensibles, notamment des identifiants de connexion pour les bases de données et les comptes de service associés à REDCap.

Avec ces identifiants en main, les attaquants ont pu se déplacer latéralement dans le réseau interne, cherchant à obtenir des droits d’administration. Google n’a pas détaillé la méthode exacte utilisée pour atteindre ce niveau de privilèges, mais les analystes suggèrent qu’il a pu s’agir d’une attaque par force brute sur des comptes administrateur, d’une exploitation de vulnérabilités connues dans les services Windows ou Active Directory, ou encore d’une récupération de mots de passe stockés en clair. Une fois un compte administrateur compromis, les pirates ont pu prendre le contrôle de Google Workspace, la suite bureautique cloud utilisée par de nombreuses organisations pour leur messagerie et leur collaboration. C’est à ce stade que la campagne a pris une tournure particulièrement insidieuse : au lieu d’utiliser un malware classique pour exfiltrer des données, les attaquants ont détourné une fonctionnalité légitime de Google Workspace, les règles de conformité de contenu, pour rediriger automatiquement les emails sensibles vers une boîte mail contrôlée par les pirates.

Google Workspace détourné : comment les règles de conformité sont devenues un canal d’espionnage

Google Workspace propose une fonctionnalité appelée « règles de conformité de contenu », conçue pour aider les administrateurs à filtrer, archiver ou rediriger les emails en fonction de mots-clés ou de critères spécifiques. Par exemple, une règle peut être configurée pour copier ou transférer tous les emails contenant le mot « contrat » vers une boîte mail dédiée à des fins de conformité légale. Dans le cadre de cette campagne, les attaquants ont exploité cette fonctionnalité pour créer une règle personnalisée, mal orthographiée (« Patroit » au lieu de « Patriot »), qui surveillait près de 150 mots-clés, termes de recherche et adresses email spécifiques. Lorsqu’un email correspondant à l’un de ces critères était détecté, Google Workspace le redirigeait en copie cachée (BCC) vers une adresse Gmail contrôlée par les pirates, sans que les utilisateurs ou les administrateurs n’en soient informés.

Cette méthode présente plusieurs avantages pour les attaquants. Tout d’abord, elle est discrète : aucune donnée ne quitte le réseau via un canal externe visible, comme un serveur de commande et contrôle (C2), ce qui rend la détection beaucoup plus difficile. Ensuite, elle exploite une fonctionnalité légitime, ce qui signifie que les outils de sécurité traditionnels, conçus pour détecter les logiciels malveillants ou les connexions suspectes, ne repèrent généralement rien d’anormal. Enfin, cette approche permet aux attaquants de cibler des informations spécifiques, comme des emails contenant des termes liés à la recherche médicale, à la défense ou à des projets classifiés, sans avoir à parcourir manuellement des milliers de messages. Une fois la règle de conformité activée, les pirates pouvaient ainsi collecter des données sensibles pendant des mois, voire des années, avant que Google ne détecte et ne désactive l’adresse Gmail malveillante.

Un acteur connu, une tactique inédite : qui est UNC6508 et pourquoi cette campagne est différente

Le groupe UNC6508 est suivi par les analystes depuis plusieurs années, principalement pour ses activités ciblant le secteur de la défense. Selon les rapports précédents, ce collectif a été associé à des campagnes d’espionnage contre des entreprises et institutions liées à la sécurité nationale, notamment aux États-Unis et en Europe. Cependant, cette campagne se distingue par plusieurs aspects. D’abord, elle marque un changement de tactique : au lieu de se concentrer sur des attaques directes via des logiciels malveillants ou des exploits, les attaquants ont choisi de détourner des outils légitimes déjà présents dans l’environnement des victimes. Ensuite, la compromission initiale via REDCap est inhabituelle : cette plateforme est rarement ciblée dans des campagnes d’espionnage, ce qui suggère que les attaquants ont soigneusement sélectionné leurs cibles en fonction de leur secteur d’activité et de la valeur des données qu’elles manipulent.

Une autre particularité de cette campagne est sa persistance. Les premières compromissions remontent à septembre 2023, et l’activité s’est poursuivie jusqu’en novembre 2025, soit près de deux ans et demi. Cette longévité s’explique en partie par la discrétion de la méthode d’exfiltration : en utilisant les règles de conformité de Google Workspace, les attaquants ont pu éviter de déclencher des alertes ou des comportements suspects. De plus, l’utilisation de REDCap comme point d’entrée a permis aux pirates de s’intégrer profondément dans les réseaux des victimes, rendant la détection et l’éradication plus complexes. Enfin, cette campagne illustre une tendance croissante dans le cyberespionnage : l’exploitation de fonctionnalités cloud légitimes pour contourner les protections traditionnelles. Des acteurs étatiques et des groupes cybercriminels utilisent de plus en plus souvent des outils comme Google Workspace, Microsoft 365 ou Slack pour masquer leurs activités malveillantes, car ces plateformes sont rarement surveillées par les solutions de sécurité classiques.

Conséquences pour les organisations : quels secteurs sont exposés et comment se protéger

Cette campagne met en lumière plusieurs risques pour les organisations, en particulier celles qui manipulent des données sensibles dans les secteurs de la santé, de la recherche académique, de la défense ou des régulateurs. Tout d’abord, elle rappelle que les serveurs exposés sur internet, même s’ils semblent anodins comme REDCap, peuvent servir de porte d’entrée à des attaquants déterminés. Les organisations doivent donc veiller à ce que toutes leurs instances de REDCap, ainsi que tout autre outil de gestion de données, soient correctement configurées, mises à jour et protégées par des pare-feux et des systèmes de détection d’intrusion. Ensuite, cette attaque souligne l’importance de surveiller les règles de conformité dans les suites bureautiques cloud. Les administrateurs doivent régulièrement auditer les règles configurées dans Google Workspace, Microsoft 365 ou d’autres plateformes similaires pour s’assurer qu’aucune règle suspecte n’a été ajoutée, notamment des redirections vers des adresses email externes.

Pour les organisations utilisant REDCap, il est crucial de vérifier l’intégrité des fichiers système et de surveiller les activités inhabituelles, comme des connexions depuis des adresses IP inconnues ou des modifications de fichiers à des heures inhabituelles. Les équipes de sécurité doivent également mettre en place une surveillance des logs de Google Workspace, en particulier pour détecter toute règle de conformité suspecte ou toute redirection d’emails vers des adresses externes. Enfin, cette campagne rappelle que les identifiants de connexion sont une cible privilégiée pour les attaquants. Les organisations doivent donc renforcer leurs politiques de gestion des mots de passe, en imposant des mots de passe complexes, l’authentification multifacteur (MFA) et la rotation régulière des credentials. Les comptes administrateur, en particulier, doivent être protégés de manière stricte, car leur compromission permet aux attaquants de prendre le contrôle de l’ensemble de l’environnement cloud.

Leçons pour les équipes de sécurité : comment détecter et bloquer ce type d’attaque

Pour les équipes de sécurité, cette campagne offre plusieurs enseignements sur la manière de détecter et de bloquer des attaques similaires. Tout d’abord, il est essentiel de surveiller les outils cloud pour détecter les comportements anormaux. Dans le cas de Google Workspace, cela signifie auditer régulièrement les règles de conformité, les redirections d’emails et les connexions depuis des adresses IP inhabituelles. Les solutions de sécurité doivent être configurées pour alerter en cas de création ou de modification suspecte de règles, ainsi que pour détecter toute tentative d’exfiltration de données via des canaux légitimes. De plus, les équipes doivent surveiller les logs des serveurs REDCap et des autres outils de gestion de données pour détecter toute activité inhabituelle, comme des connexions à des heures inhabituelles ou des modifications de fichiers système.

Une autre leçon clé est l’importance de la segmentation du réseau et du principe de moindre privilège. Les attaquants ont pu escalader leurs privilèges jusqu’à obtenir un accès administrateur en exploitant des identifiants de service et des comptes mal protégés. Pour limiter ce risque, les organisations doivent segmenter leur réseau, afin de limiter la propagation latérale en cas de compromission. Elles doivent également appliquer le principe de moindre privilège, en s’assurant que chaque compte et chaque service n’a accès qu’aux ressources dont il a besoin. Enfin, les équipes de sécurité doivent mettre en place des mécanismes de détection des menaces persistantes avancées (APT), capables d’identifier les comportements suspects sur une longue période. Dans le cas de cette campagne, une détection précoce aurait pu permettre de bloquer l’escalade des privilèges ou la configuration des règles de conformité malveillantes.

Que faire si vous utilisez REDCap ou Google Workspace ?

Pour les organisations utilisant REDCap ou Google Workspace, plusieurs actions immédiates peuvent réduire le risque d’une compromission similaire. Tout d’abord, il est recommandé de vérifier l’intégrité des fichiers système de REDCap. Les administrateurs doivent comparer les fichiers actuels avec une version saine connue, afin de détecter d’éventuelles modifications malveillantes. Ensuite, il est crucial de révoquer et de régénérer tous les identifiants de connexion associés à REDCap, en particulier les mots de passe des comptes administrateur et des comptes de service. Ces identifiants doivent être remplacés par des mots de passe complexes et uniques, protégés par l’authentification multifacteur (MFA).

Pour Google Workspace, les administrateurs doivent auditer toutes les règles de conformité existantes et supprimer celles qui ne sont pas explicitement autorisées. Ils doivent également vérifier les redirections d’emails et s’assurer qu’aucune adresse externe non autorisée n’a été ajoutée. Enfin, il est recommandé de renforcer la surveillance des logs, en configurant des alertes pour toute activité suspecte, comme la création de nouvelles règles ou des connexions depuis des adresses IP inconnues. Les équipes de sécurité doivent également mettre à jour leurs politiques de gestion des accès, en appliquant le principe de moindre privilège et en segmentant le réseau pour limiter la propagation latérale en cas de compromission.

L’évolution des tactiques d’espionnage : vers une exploitation accrue des outils cloud

Cette campagne s’inscrit dans une tendance plus large, où les acteurs étatiques exploitent de plus en plus les outils cloud légitimes pour mener des activités d’espionnage ou de cybercriminalité. Des groupes comme UNC6508 ne se contentent plus de cibler des vulnérabilités logicielles ou de déployer des malwares classiques : ils détournent des fonctionnalités existantes pour masquer leurs activités. Cette approche présente plusieurs avantages pour les attaquants. Elle réduit le risque de détection, car les outils cloud sont rarement surveillés par les solutions de sécurité traditionnelles. Elle permet également de contourner les protections réseau, car les données exfiltrées transitent par des canaux légitimes. Enfin, elle offre une grande flexibilité, car les attaquants peuvent adapter leurs méthodes en fonction des outils disponibles dans l’environnement de la victime.

Pour les organisations, cette évolution implique un changement de paradigme en matière de cybersécurité. Les équipes doivent désormais surveiller non seulement les menaces externes, mais aussi les outils cloud internes, qui peuvent être détournés à des fins malveillantes. Cela nécessite une approche plus holistique, combinant la surveillance des logs, l’audit régulier des configurations, et la mise en place de mécanismes de détection des comportements anormaux. Les solutions de sécurité doivent évoluer pour couvrir ces nouveaux vecteurs d’attaque, en intégrant des capacités de détection des menaces dans les environnements cloud. Enfin, les organisations doivent renforcer leur collaboration avec les éditeurs de logiciels, comme Google ou REDCap, pour s’assurer que les mises à jour de sécurité sont appliquées rapidement et que les bonnes pratiques de configuration sont suivies.

Conclusion : une alerte pour les organisations utilisant des outils cloud et des bases de données de recherche

La campagne d’espionnage menée par UNC6508 à travers REDCap et Google Workspace est un rappel cinglant que les outils cloud et les plateformes de gestion de données, bien que conçus pour faciliter le travail, peuvent aussi servir de vecteurs d’attaque. En détournant des fonctionnalités légitimes, les attaquants ont réussi à exfiltrer des emails sensibles pendant près de deux ans sans être détectés, illustrant ainsi l’ingéniosité et la persistance des acteurs étatiques dans le cyberespace. Pour les organisations, cette attaque souligne l’importance de surveiller en permanence leurs environnements cloud, de renforcer la protection des identifiants, et de segmenter leur réseau pour limiter la propagation des compromissions.

À l’avenir, les équipes de sécurité devront adopter une approche proactive, en auditant régulièrement les configurations de leurs outils cloud et en surveillant les comportements anormaux. Les éditeurs de logiciels, quant à eux, devront renforcer la sécurité par défaut de leurs plateformes, en intégrant des mécanismes de détection des détournements de fonctionnalités et en fournissant des outils d’audit plus accessibles. Enfin, cette campagne est un appel à la vigilance pour toutes les organisations manipulant des données sensibles : dans un paysage de menaces en constante évolution, la sécurité ne peut plus se limiter à la protection des périmètres traditionnels. Elle doit désormais s’étendre aux outils cloud, aux identifiants, et aux règles de conformité, qui sont devenus des cibles privilégiées pour les cyberespions.