Hacker cinesi sfruttano Google Workspace per rubare email di ricerca e difesa da un anno

Un gruppo di spionaggio informatico legato alla Cina ha trascorso più di un anno all’interno di reti di ricerca medica, accademica e militare nordamericane, sottraendo in modo silenzioso email sensibili relative a studi clinici e progetti di difesa. La tecnica utilizzata è risultata particolarmente insidiosa perché, una volta violati i server di ricerca REDCap, gli attaccanti non hanno installato malware aggiuntivi per rubare i dati. Al contrario, hanno manipolato le regole di Google Workspace già presenti nelle organizzazioni colpite, trasformandole in un canale di esfiltrazione automatica delle comunicazioni. Secondo l’analisi di Google Threat Intelligence Group (GTIG), l’attacco è attribuibile con alta confidenza a un cluster noto come UNC6508, già segnalato in precedenza per campagne contro il settore della difesa.

L’operazione ha sfruttato REDCap (Research Electronic Data Capture), una piattaforma web ampiamente utilizzata da ospedali, università e istituti di ricerca per creare e gestire database di studi clinici. Gli attaccanti sono riusciti a compromettere server REDCap esposti su internet, ottenendo così un punto d’accesso iniziale nelle reti delle vittime. Da lì, hanno proceduto con una fase di ricognizione interna e raccolta di credenziali, estraendo informazioni da database e account di servizio per poi muoversi lateralmente fino a ottenere diritti di amministratore di dominio. Una volta raggiunto questo livello di accesso, UNC6508 ha sfruttato una funzionalità legittima di Google Workspace — le regole di conformità dei contenuti — per configurare un meccanismo di copia automatica delle email corrispondenti a specifiche parole chiave verso un indirizzo Gmail controllato dagli attaccanti.

Questa modalità operativa rappresenta un’evoluzione significativa rispetto ai metodi tradizionali di esfiltrazione. Normalmente, gli attaccatori si affidano a malware per raccogliere e inviare dati verso server remoti, ma in questo caso hanno evitato di lasciare tracce di software malevolo, sfruttando invece le funzionalità native della piattaforma cloud utilizzata dalle vittime. La conseguenza è che la violazione è risultata più difficile da rilevare, poiché il traffico di esfiltrazione appariva come una normale attività amministrativa di Google Workspace. Secondo Google, le regole di conformità create da UNC6508 monitoravano quasi 150 termini, parole chiave e indirizzi email. Quando una comunicazione corrispondeva a uno di questi criteri, veniva automaticamente inoltrata in copia nascosta (BCC) a un account Gmail esterno, che Google ha successivamente disabilitato.

Come hanno fatto: l’infezione iniziale e la persistenza

L’accesso iniziale ai server REDCap compromessi è avvenuto tramite una backdoor non meglio specificata, che ha permesso agli attaccanti di rubare le credenziali di accesso. Google non ha indicato una vulnerabilità CVE specifica né ha elencato le versioni di REDCap interessate, ma ha segnalato che il gruppo ha preso di mira sistemi più vecchi e potenzialmente vulnerabili. Una volta ottenute le credenziali, gli attaccanti hanno eseguito una fase di ricognizione interna per identificare account e servizi critici. Questo processo ha incluso l’estrazione di credenziali da database e account di servizio, che sono stati poi utilizzati per muoversi lateralmente all’interno della rete.

Dopo circa tre mesi dall’infezione iniziale, UNC6508 ha distribuito un malware personalizzato chiamato INFINITERED da Google. Questo software malevolo ha infettato i file di sistema di REDCap, integrandosi nel flusso di lavoro della piattaforma. Il malware eseguiva tre funzioni principali: raccolta di informazioni, esfiltrazione dei dati e mantenimento della persistenza all’interno dell’infrastruttura compromessa. L’obiettivo finale era ottenere il controllo di un account amministratore di dominio, che avrebbe permesso agli attaccanti di manipolare ulteriormente le regole di Google Workspace e di estrarre informazioni sensibili senza destare sospetti.

Le prime compromissioni risalgono a settembre 2023, e l’attività è proseguita fino a novembre 2025, dimostrando che il gruppo ha operato con una finestra temporale estremamente lunga. Questo suggerisce una pianificazione accurata e una capacità di operare in modo prolungato all’interno delle reti delle vittime, evitando di essere scoperti. La persistenza è stata garantita sia attraverso il malware INFINITERED che attraverso l’uso delle regole di conformità di Google Workspace, che hanno permesso agli attaccanti di continuare a ricevere copie delle email anche dopo che il malware era stato rilevato e rimosso.

Il ruolo di Google Workspace e delle regole di conformità

Le regole di conformità dei contenuti in Google Workspace sono uno strumento legittimo progettato per aiutare le organizzazioni a monitorare e gestire il flusso di email. Gli amministratori possono configurare regole che cercano parole chiave specifiche, indirizzi email o altri criteri, e poi applicare azioni come l’inoltro, la copia o la quarantena dei messaggi corrispondenti. Queste funzionalità sono utili per la gestione delle policy aziendali, la prevenzione della perdita di dati (DLP) e la conformità normativa. Tuttavia, come dimostra questa campagna, possono essere sfruttate anche dagli attaccanti per esfiltrare dati in modo silenzioso e automatizzato.

UNC6508 ha creato una regola di conformità che monitorava quasi 150 termini, tra cui parole chiave relative a progetti di ricerca, nomi di istituzioni militari e indirizzi email specifici. Quando una email corrispondeva a uno di questi criteri, la regola applicava automaticamente un’azione di copia nascosta (BCC) verso un indirizzo Gmail controllato dagli attaccanti. Questo meccanismo ha permesso agli attaccanti di ricevere una copia di ogni email rilevante senza dover accedere direttamente alle caselle di posta delle vittime o installare software aggiuntivo. La regola creata dagli attaccanti presentava un refuso nel termine “Patroit” invece di “Patriot”, un dettaglio che potrebbe essere stato un errore di battitura o una tecnica deliberata per evitare rilevamenti automatici basati su firme note.

La scoperta di questa campagna ha portato Google a disabilitare l’indirizzo Gmail utilizzato dagli attaccanti e a revocare le regole di conformità compromesse. Tuttavia, il caso solleva domande importanti sulla sicurezza delle funzionalità native dei servizi cloud e sulla necessità di monitorare attentamente le configurazioni amministrative. Le organizzazioni che utilizzano Google Workspace dovrebbero revisionare periodicamente le regole di conformità e le policy di sicurezza per identificare eventuali anomalie o configurazioni non autorizzate. Inoltre, è fondamentale limitare i diritti di amministratore e implementare controlli di sicurezza aggiuntivi per prevenire abusi di questo tipo.

Le vittime e il contesto geopolitico

Secondo l’analisi di Google, le vittime di questa campagna includono organizzazioni sanitarie, centri accademici, istituti militari sanitari, gruppi di advocacy e regolatori sanitari negli Stati Uniti e in Canada. L’obiettivo principale sembra essere stato la sottrazione di informazioni sensibili relative a studi clinici, progetti di ricerca medica e comunicazioni interne di istituzioni militari. Questo tipo di spionaggio è coerente con le attività di gruppi di minaccia legati alla Cina, che spesso mirano a raccogliere informazioni strategiche per supportare obiettivi nazionali, come lo sviluppo di tecnologie mediche avanzate o il monitoraggio di progetti militari sensibili.

Il cluster UNC6508 è stato già segnalato in passato per campagne simili contro il settore della difesa. La sua capacità di operare per oltre un anno all’interno delle reti delle vittime senza essere rilevato dimostra un livello avanzato di competenza tecnica e di pianificazione operativa. Inoltre, l’uso di una backdoor su REDCap e di malware personalizzato come INFINITERED indica che il gruppo dispone di risorse significative e di una conoscenza approfondita delle infrastrutture di ricerca e difesa.

Per le organizzazioni che operano in settori sensibili, questo caso rappresenta un campanello d’allarme. La compromissione di server REDCap e l’abuso delle regole di Google Workspace mostrano che gli attaccanti sono in grado di sfruttare anche strumenti legittimi per condurre operazioni di spionaggio. È quindi essenziale adottare una strategia di difesa in profondità, che includa il monitoraggio costante delle attività amministrative, la limitazione dei privilegi e l’implementazione di controlli di sicurezza avanzati per rilevare comportamenti anomali.

Cosa devono fare le organizzazioni per proteggersi

Le organizzazioni che utilizzano REDCap, Google Workspace o altri servizi cloud simili devono adottare una serie di misure per proteggersi da attacchi di questo tipo. Innanzitutto, è fondamentale assicurarsi che tutti i sistemi esposti su internet siano aggiornati e protetti con le ultime patch di sicurezza. Le versioni obsolete di REDCap o di altri software di ricerca potrebbero contenere vulnerabilità note che gli attaccanti sfruttano per ottenere accesso iniziale.

In secondo luogo, le organizzazioni dovrebbero implementare controlli di sicurezza avanzati per monitorare le attività amministrative e rilevare eventuali configurazioni non autorizzate. Questo include la revisione periodica delle regole di conformità in Google Workspace, l’analisi dei log di accesso e l’implementazione di sistemi di rilevamento delle minacce (SIEM) per identificare comportamenti sospetti. Inoltre, è consigliabile limitare i diritti di amministratore ai soli utenti strettamente necessari e implementare l’autenticazione a più fattori (MFA) per tutti gli account critici.

Un altro aspetto cruciale è la formazione del personale. Gli attaccanti spesso sfruttano tecniche di ingegneria sociale per ottenere accesso iniziale, come il phishing o l’uso di credenziali rubate. È quindi importante educare i dipendenti a riconoscere i tentativi di phishing e a segnalare eventuali attività sospette. Inoltre, le organizzazioni dovrebbero implementare politiche di gestione delle credenziali che prevedano la rotazione periodica delle password e l’uso di password manager per evitare l’uso di credenziali deboli o riutilizzate.

Infine, è essenziale collaborare con esperti di sicurezza informatica per condurre valutazioni regolari delle vulnerabilità e test di penetrazione. Questi strumenti possono aiutare a identificare punti deboli nelle infrastrutture e a implementare misure correttive prima che vengano sfruttate dagli attaccanti. In un contesto in cui le minacce sono in continua evoluzione, la prevenzione e la preparazione sono fondamentali per proteggere le informazioni sensibili.

Implicazioni per il settore della sicurezza informatica

Questa campagna di spionaggio rappresenta un’evoluzione significativa nelle tecniche utilizzate dagli attaccanti per esfiltrare dati senza essere rilevati. L’abuso delle regole di conformità di Google Workspace dimostra che gli attaccanti stanno sempre più sfruttando le funzionalità native dei servizi cloud per condurre operazioni di spionaggio. Questo trend pone nuove sfide per il settore della sicurezza informatica, che deve adattarsi per proteggere le organizzazioni da minacce sempre più sofisticate.

Inoltre, il caso evidenzia l’importanza di una collaborazione stretta tra i fornitori di servizi cloud e le organizzazioni clienti. Google ha rapidamente reagito alla campagna di UNC6508, disabilitando l’indirizzo Gmail utilizzato dagli attaccanti e revocando le regole di conformità compromesse. Tuttavia, la rapidità di risposta dei fornitori di servizi cloud è fondamentale per limitare l’impatto delle violazioni. Le organizzazioni devono quindi lavorare a stretto contatto con i propri provider per assicurarsi che le misure di sicurezza siano aggiornate e che eventuali anomalie vengano rilevate e risolte tempestivamente.

Dal punto di vista geopolitico, questa campagna sottolinea la necessità di una maggiore consapevolezza delle minacce di spionaggio informatico provenienti da gruppi legati a stati nazionali. Le organizzazioni che operano in settori sensibili, come la ricerca medica e la difesa, devono essere particolarmente attente e adottare misure di sicurezza avanzate per proteggere le proprie informazioni. Inoltre, i governi e le agenzie di intelligence devono collaborare per condividere informazioni sulle minacce e sviluppare strategie di difesa coordinate.

Cosa monitorare nei prossimi mesi

Nei prossimi mesi, è probabile che emergano ulteriori dettagli sulla campagna di UNC6508 e sulle tecniche utilizzate dagli attaccanti. In particolare, sarà interessante osservare se altri gruppi di minaccia adotteranno metodi simili per esfiltrare dati tramite l’abuso di funzionalità native dei servizi cloud. Le organizzazioni dovrebbero quindi monitorare attentamente gli annunci di sicurezza di Google e di altri fornitori di servizi cloud per identificare eventuali vulnerabilità o tecniche di attacco emergenti.

Inoltre, è probabile che le autorità di sicurezza informatica emettano nuove linee guida per proteggere le organizzazioni da attacchi di questo tipo. Le organizzazioni dovrebbero essere pronte a implementare queste raccomandazioni e a revisionare le proprie politiche di sicurezza per assicurarsi che siano allineate con le best practice del settore. Infine, è consigliabile monitorare le attività di gruppi come UNC6508 e altri cluster di minaccia legati a stati nazionali, per identificare eventuali pattern o tecniche che potrebbero essere riutilizzate in future campagne.

Conclusione

La campagna di spionaggio condotta da UNC6508 rappresenta un promemoria importante della necessità di adottare una strategia di sicurezza informatica completa e proattiva. Gli attaccanti sono sempre più abili nello sfruttare le funzionalità legittime dei servizi cloud per condurre operazioni di spionaggio, rendendo necessario un approccio che vada oltre la semplice protezione perimetrale. Le organizzazioni devono monitorare costantemente le proprie infrastrutture, limitare i privilegi e implementare controlli di sicurezza avanzati per rilevare e prevenire abusi di questo tipo.

Per le organizzazioni che utilizzano REDCap, Google Workspace o altri servizi simili, questo caso offre una serie di lezioni pratiche. Innanzitutto, è essenziale assicurarsi che tutti i sistemi siano aggiornati e protetti con le ultime patch di sicurezza. In secondo luogo, le regole di conformità e le configurazioni amministrative devono essere revisionate periodicamente per identificare eventuali anomalie. Infine, la formazione del personale e la collaborazione con esperti di sicurezza informatica sono fondamentali per proteggere le informazioni sensibili e prevenire violazioni future. In un contesto in cui le minacce sono in continua evoluzione, la preparazione e la vigilanza sono gli unici strumenti efficaci per proteggere le proprie risorse digitali.