Hackers chineses usaram regras do Google Workspace para roubar e-mails de pesquisa e defesa por mais de um ano

Um grupo de ciberespionagem ligado à China manteve acesso não autorizado a redes de pesquisa médica, acadêmica e militar na América do Norte por mais de doze meses. O invasor não precisou de técnicas avançadas de invasão: o ponto de entrada foi um backdoor em servidores REDCap, plataforma amplamente usada por hospitais e universidades para gerenciar bancos de dados de estudos clínicos. Depois de obter credenciais de acesso, o grupo implantou malware personalizado e, em seguida, reconfigurou regras internas do Google Workspace das próprias vítimas para copiar automaticamente e-mails que continham termos sensíveis para uma conta controlada pelos atacantes. A campanha, atribuída com alta confiança ao cluster UNC6508, mostra como atores de ameaças estatais podem abusar de funcionalidades legítimas de plataformas de nuvem para exfiltrar dados sem deixar rastros óbvios em sistemas locais.

A descoberta foi publicada em um relatório técnico recentemente, que detalha como o grupo UNC6508 operou entre setembro de 2023 e novembro de 2025. O vetor inicial de acesso não foi completamente esclarecido, mas a investigação indica que os invasores comprometeram servidores REDCap expostos na internet, possivelmente aproveitando versões desatualizadas ou vulnerabilidades não especificadas. Após a invasão inicial, o grupo permaneceu em silêncio por cerca de três meses, realizando reconhecimento interno, coleta de credenciais de banco de dados e contas de serviço, e movimento lateral até obter privilégios de administrador de domínio. Com esses poderes, os atacantes não precisaram instalar malware adicional para roubar informações: eles simplesmente reutilizaram uma ferramenta legítima do Google Workspace — as regras de conformidade de conteúdo — para monitorar e-mails em busca de palavras-chave específicas e encaminhá-los automaticamente para um endereço Gmail controlado por eles. Essa abordagem reduz drasticamente a visibilidade da atividade maliciosa, pois todo o processo ocorre dentro da infraestrutura legítima da vítima, sem tráfego suspeito de saída ou transferência de arquivos para servidores externos.

O que torna essa campanha particularmente preocupante é a combinação de dois fatores: o uso de uma plataforma amplamente confiável como o REDCap e a exploração de uma funcionalidade nativa do Google Workspace projetada para administração de e-mails. Instituições que dependem dessas plataformas para gerenciar dados sensíveis de pesquisa e saúde precisam urgentemente revisar suas configurações de segurança, monitorar regras de conformidade suspeitas e restringir o acesso a servidores expostos na internet. Além disso, o caso reforça a importância de aplicar atualizações de segurança de forma proativa e implementar autenticação multifator não apenas para contas de usuários, mas também para contas de serviço e administradores de domínio.

Como o grupo UNC6508 invadiu as redes usando REDCap

O REDCap é uma ferramenta crítica em ambientes acadêmicos e de saúde, permitindo que pesquisadores criem formulários personalizados, coletem dados de participantes e gerenciem estudos clínicos de forma segura. Embora a plataforma seja projetada para ser segura, servidores expostos na internet que não recebem atualizações regulares tornam-se alvos atraentes para invasores. Segundo o relatório, o grupo UNC6508 comprometeu servidores REDCap de múltiplas organizações nos Estados Unidos e Canadá, incluindo provedores clínicos, centros acadêmicos, instituições militares de saúde, grupos de defesa e reguladores da área da saúde.

A investigação não identificou uma vulnerabilidade específica ou CVE associada ao ataque inicial, mas indicou que os invasores exploraram versões mais antigas e potencialmente vulneráveis do REDCap. Isso sugere que muitas organizações podem estar operando com versões desatualizadas sem perceber o risco que representam. Após a invasão, o grupo permaneceu em modo de espera por cerca de três meses, período durante o qual realizou reconhecimento interno, coletou credenciais de serviços e contas de banco de dados, e se moveu lateralmente pela rede até obter privilégios de administrador de domínio. Essa fase de movimento lateral é comum em ataques de espionagem, pois permite que os invasores acessem informações cada vez mais sensíveis sem levantar suspeitas imediatas.

O uso do REDCap como porta de entrada é especialmente preocupante porque a plataforma muitas vezes integra-se a outros sistemas críticos, como sistemas de gerenciamento de pacientes ou bancos de dados de pesquisa. Uma vez dentro, os atacantes podem não apenas roubar dados de e-mail, mas também acessar informações armazenadas em formulários de pesquisa, registros de pacientes ou dados de recrutamento de estudos clínicos. Para organizações que dependem do REDCap, é fundamental auditar regularmente os logs de acesso, verificar a integridade dos arquivos do servidor e garantir que todas as atualizações de segurança sejam aplicadas imediatamente.

O malware INFINITERED e suas três funções principais

Três meses após a invasão inicial, o grupo implantou um malware personalizado chamado INFINITERED, que afeta diretamente os próprios arquivos do sistema REDCap. Segundo a análise técnica, o malware executa três funções principais: persistência, coleta de credenciais e preparação para a fase de exfiltração. A implantação desse malware indica que os invasores não estavam apenas interessados em dados de e-mail, mas também em estabelecer um ponto de apoio duradouro dentro da rede da vítima.

A primeira função do INFINITERED é garantir a persistência no servidor comprometido. Isso é feito por meio da modificação de arquivos do sistema REDCap, o que permite que o malware reinicie automaticamente sempre que o servidor for reiniciado ou atualizado. Essa técnica dificulta a detecção e remoção, pois o malware se integra ao fluxo normal de operação do servidor. Em segundo lugar, o malware coleta credenciais de serviços e contas de banco de dados, que são essenciais para o movimento lateral e o acesso a sistemas mais sensíveis. Por fim, o INFINITERED prepara o terreno para a fase de exfiltração, que não depende de malware adicional, mas sim de uma funcionalidade legítima do Google Workspace.

Embora o relatório não detalhe todas as técnicas de evasão usadas pelo malware, é provável que o INFINITERED utilize técnicas comuns de ofuscação e criptografia para evitar a detecção por antivírus ou sistemas de monitoramento. Além disso, como o malware é implantado diretamente nos arquivos do REDCap, ele pode passar despercebido por ferramentas de segurança que focam apenas em tráfego de rede ou comportamento de usuários. Isso reforça a necessidade de monitoramento contínuo de integridade de arquivos e uso de soluções de detecção baseadas em comportamento, que possam identificar alterações suspeitas em sistemas críticos.

Como os invasores abusaram das regras de conformidade do Google Workspace

A etapa mais inovadora da campanha foi a exfiltração de dados, que não exigiu a transferência de arquivos para servidores externos ou o uso de malware adicional. Em vez disso, os invasores abusaram de uma funcionalidade legítima do Google Workspace chamada "regras de conformidade de conteúdo". Essa ferramenta é projetada para ajudar administradores a monitorar e-mails em busca de palavras-chave específicas, como informações confidenciais ou termos regulamentados, e aplicam ações automáticas como cópia, encaminhamento ou bloqueio.

Os atacantes criaram uma regra com um erro ortográfico intencional — "Patroit" em vez de "Patriot" — que monitorava cerca de 150 palavras-chave, termos de pesquisa e endereços de e-mail. Quando um e-mail correspondia a algum desses termos, o Google Workspace, de forma silenciosa e automática, enviava uma cópia em cópia oculta (BCC) para um endereço Gmail controlado pelos invasores. Essa abordagem é extremamente difícil de detectar, pois todo o processo ocorre dentro da infraestrutura legítima da vítima e não envolve tráfego de saída suspeito ou transferência de arquivos para servidores externos.

O uso de regras de conformidade para exfiltração de dados é uma técnica emergente em campanhas de ciberespionagem. Ela demonstra como atores de ameaças podem explorar ferramentas administrativas legítimas para contornar controles de segurança tradicionais. Para organizações que utilizam o Google Workspace, é crucial revisar todas as regras de conformidade existentes, remover aquelas que não são essenciais e monitorar a criação de novas regras por usuários não autorizados. Além disso, a implementação de alertas para regras que encaminham ou copiam e-mails para domínios externos pode ajudar a detectar atividades suspeitas antes que dados sensíveis sejam exfiltrados.

Quem foi afetado e por que isso importa para pesquisa e defesa

As vítimas da campanha incluem uma ampla gama de instituições na América do Norte, abrangendo provedores clínicos, centros acadêmicos, instituições militares de saúde, grupos de defesa e reguladores da área da saúde. A diversidade dos alvos sugere que o grupo UNC6508 está interessado em uma variedade de dados sensíveis, desde informações de pacientes e resultados de pesquisas clínicas até comunicações internas de organizações militares e de defesa.

Para instituições de pesquisa médica e acadêmica, a exposição de dados de estudo pode comprometer a integridade de pesquisas em andamento, violar regulamentações de privacidade como a HIPAA nos Estados Unidos ou a PIPEDA no Canadá, e prejudicar a confiança do público em estudos clínicos. Além disso, a perda de propriedade intelectual pode ter impactos financeiros significativos, especialmente para universidades e hospitais que dependem de patentes e parcerias com a indústria farmacêutica.

No setor de defesa, o roubo de comunicações internas pode expor estratégias de pesquisa, planos de desenvolvimento de tecnologias sensíveis ou informações sobre pessoal militar. Embora o relatório não especifique quais dados foram exfiltrados, o fato de que os invasores tiveram acesso a contas de administrador de domínio indica que eles podem ter obtido informações de alto valor. Isso reforça a necessidade de que instituições militares e de defesa revisem suas políticas de acesso, implementem segmentação de rede rigorosa e monitorem atividades de administradores de domínio.

O que as organizações devem fazer agora

A primeira medida para organizações que utilizam o REDCap ou o Google Workspace é revisar urgentemente suas configurações de segurança. Para o REDCap, isso inclui auditar servidores expostos na internet, garantir que todas as atualizações de segurança sejam aplicadas e verificar a integridade dos arquivos do sistema. Qualquer servidor que não esteja recebendo atualizações regulares deve ser desconectado da internet ou movido para um ambiente isolado até que as correções sejam aplicadas.

No Google Workspace, as organizações devem revisar todas as regras de conformidade de conteúdo, remover aquelas que não são essenciais e implementar alertas para regras que encaminham ou copiam e-mails para domínios externos. Além disso, é fundamental restringir a criação e modificação de regras de conformidade apenas a administradores autorizados e implementar autenticação multifator para todas as contas, especialmente aquelas com privilégios de administrador.

Outra medida crítica é a implementação de monitoramento contínuo de integridade de arquivos e comportamento de usuários. Soluções de detecção baseadas em comportamento podem identificar alterações suspeitas em sistemas críticos, como o REDCap, ou comportamentos incomuns em contas de administrador. Além disso, a segmentação de rede pode limitar o movimento lateral de atacantes, mesmo que eles consigam obter credenciais de administrador.

Por fim, organizações devem revisar seus planos de resposta a incidentes e garantir que suas equipes de segurança estejam preparadas para detectar e responder a técnicas avançadas de exfiltração, como o abuso de regras de conformidade. Isso inclui a realização de exercícios de simulação de ataques e a atualização constante de políticas de segurança para acompanhar as táticas emergentes de atores de ameaças.

O que o futuro reserva para ataques baseados em nuvem

A campanha do UNC6508 representa um marco no uso de funcionalidades legítimas de plataformas de nuvem para exfiltração de dados. À medida que mais organizações migram para soluções baseadas em nuvem, é provável que atores de ameaças continuem a explorar ferramentas administrativas e recursos nativos para contornar controles de segurança tradicionais. Isso inclui não apenas regras de conformidade de e-mail, mas também recursos de automação, integrações de API e configurações de compartilhamento de arquivos.

Para organizações, isso significa que a segurança não pode mais se limitar à proteção de perímetros ou à detecção de malware. É necessário adotar uma abordagem de segurança em camadas, que inclua monitoramento contínuo de comportamento, restrição de privilégios e revisão constante de configurações de nuvem. Além disso, a colaboração entre equipes de segurança e administradores de nuvem é essencial para garantir que as configurações estejam alinhadas com as melhores práticas de segurança.

Os provedores de nuvem também têm um papel crucial a desempenhar. Eles devem fornecer visibilidade aprimorada sobre atividades administrativas suspeitas, implementar padrões de segurança mais rigorosos para recursos críticos e educar os clientes sobre os riscos de abusar de funcionalidades legítimas. À medida que as táticas de ciberespionagem evoluem, a parceria entre provedores e clientes será fundamental para proteger dados sensíveis em um ambiente cada vez mais baseado em nuvem.

Conclusão

A campanha do grupo UNC6508 destaca uma tendência crescente no ciberespionagem: o uso de ferramentas legítimas e funcionalidades de nuvem para roubar dados sem deixar rastros óbvios. Ao abusar de regras de conformidade do Google Workspace e implantar malware personalizado em servidores REDCap, os invasores conseguiram acessar e-mails sensíveis de pesquisa e defesa por mais de um ano. Para organizações que dependem dessas plataformas, a lição é clara: a segurança deve ser proativa, contínua e baseada em comportamento. Revisar configurações, aplicar atualizações, monitorar atividades administrativas e restringir privilégios são medidas essenciais para evitar que ataques semelhantes ocorram no futuro. À medida que a nuvem se torna cada vez mais central para operações críticas, a capacidade de detectar e responder a abusos de funcionalidades legítimas será um fator determinante na proteção de dados sensíveis.