中国黑客滥用Google Workspace规则潜伏一年窃取敏感邮件

一个持续14个月的隐蔽入侵战役

Google威胁情报团队（GTIG）本周披露了一起持续时间超过14个月的网络间谍活动，攻击目标涵盖北美医疗、学术和军事研究机构。攻击者通过植入REDCap研究服务器后门获得初始访问权限，随后在内网横向移动，最终利用Google Workspace的合规规则将特定邮件静默转发至攻击者控制的邮箱。最早的入侵活动可追溯至2023年9月，而攻击者的活动直到2025年11月才被发现并终止。这一时间跨度表明，该组织具备极强的隐蔽性和持久性，能够在被发现之前长期维持对目标网络的控制。

攻击者的目标范围广泛，包括临床医疗机构、大学学术中心、军事医疗机构、健康倡导组织以及监管机构。这些机构通常拥有大量敏感的研究数据、医疗记录和国防相关信息，因此成为网络间谍活动的高价值目标。攻击者的行动表明，他们不仅关注数据窃取，还试图通过长期潜伏获取战略情报。

攻击者是谁：UNC6508的背景与动机

Google将这起攻击活动归因于一个被其跟踪为UNC6508的中国关联黑客组织，并给予了高置信度的归因判断。UNC6508并非新兴的网络威胁组织，Google早在2024年2月就曾在一份关于针对国防部门的国家支持攻击的报告中首次提及该组织及其REDCap后门。这表明UNC6508至少从那时起就已活跃，并专注于针对研究和国防领域的网络间谍活动。

该组织的动机主要指向情报收集和知识产权窃取。通过长期潜伏在研究机构和军事相关网络中，UNC6508能够获取未公开的研究成果、医疗数据以及国防相关的内部通信。这些信息可能被用于支持中国的科技发展战略、医疗研究或军事规划。由于攻击活动的持续时间较长，UNC6508展现出了成熟的网络攻击能力，包括利用合法工具进行隐蔽的数据窃取。

初始访问：REDCap服务器成为突破口

攻击者的入口点是REDCap（Research Electronic Data Capture），这是一个广泛应用于医疗机构和大学的研究数据库管理平台。REDCap服务器通常面向外部用户开放，用于收集和管理研究数据，因此成为攻击者的理想目标。Google尚未明确说明UNC6508最初是如何入侵REDCap服务器的，但指出该组织在入侵过程中探测了多个旧版本的漏洞。

攻击者在获得初始访问权限后，部署了名为INFINITERED的自定义恶意软件。该恶意软件通过感染REDCap系统文件来实现持久化，并具备三个核心功能：内部侦察、凭证发现和横向移动。在大约三个月的时间里，UNC6508在REDCap服务器内进行了深度侦察，收集了数据库凭证和服务账户凭证，为后续的网络横向移动奠定了基础。

横向渗透：从REDCap到域管理员权限

在收集足够的凭证后，UNC6508开始在内网中横向移动。攻击者利用窃取的凭证逐步提升权限，最终获得了域管理员账户的控制权。虽然Google未详细说明攻击者如何从REDCap服务器的访问权限提升至域管理员权限，但这一过程通常涉及多种技术手段，例如凭证转储、哈希传递攻击或利用内网中存在的弱口令。

域管理员权限的获取意味着攻击者已经完全控制了目标组织的邮件系统和其他关键基础设施。这一阶段的成功表明，UNC6508在网络攻击技术上具有较高的专业性，能够绕过目标组织的安全防护措施，实现对整个网络的深度渗透。

数据窃取：滥用Google Workspace合规规则

UNC6508在获得域管理员权限后，利用Google Workspace的合规规则机制实现了大规模的数据窃取。Google Workspace的合规规则是一项合法的管理功能，允许管理员设置邮件扫描规则，自动复制或转发包含特定关键词的邮件。攻击者滥用这一功能，创建了一个名为“Patroit”（可能为“Patriot”的误拼）的规则，监控近150个关键词、搜索词和邮箱地址。

当目标邮件匹配这些关键词时，系统会静默地将邮件BCC转发至攻击者控制的Gmail地址。由于这一过程完全依赖于Google Workspace的合法功能，邮件的发件人和收件人通常不会察觉到任何异常。Google在发现这一攻击活动后，已关闭了攻击者控制的邮箱，并协助受害组织清除恶意规则。

攻击手法的演进与合法工具的滥用

UNC6508的攻击手法展现了网络间谍活动的演进趋势，即越来越多地利用合法工具和功能进行隐蔽的攻击活动。通过滥用Google Workspace的合规规则，攻击者能够在不植入额外恶意软件的情况下实现大规模的数据窃取。这种攻击方式不仅降低了被发现的风险，还使得传统的防病毒软件难以检测到异常活动。

此外，UNC6508还展现了对REDCap等研究平台的深度利用能力。通过植入自定义恶意软件，攻击者不仅能够窃取凭证，还能在研究数据库中进行长期的情报收集。这种针对特定研究平台的攻击手法表明，网络间谍组织正在针对特定行业和技术平台制定定制化的攻击策略。

对受害组织的影响与长期风险

对于受害的医疗、学术和军事研究机构而言，这起攻击活动的影响可能是深远的。首先，敏感的研究数据和医疗记录可能被泄露，导致知识产权损失、监管处罚或声誉受损。其次，攻击者可能利用窃取的内部通信进行进一步的网络钓鱼或社交工程攻击，对组织的安全防护构成持续威胁。

此外，由于攻击活动持续了超过一年，UNC6508可能已经窃取了大量未被发现的敏感信息。即使攻击活动被终止，受害组织仍需进行全面的安全审计，以确保所有潜在的后门和恶意规则已被清除。对于军事相关机构而言，此次事件还可能涉及国家安全层面的情报泄露，需要更高级别的安全评估和防护措施。

企业与机构应采取的防护措施

针对UNC6508等网络间谍组织的攻击活动，企业和机构应采取多层次的防护措施。首先，应加强对REDCap等研究平台的安全防护，包括定期更新软件、限制外部访问权限以及部署基于行为的异常检测。其次，应审查Google Workspace等云邮件服务的合规规则配置，确保没有未经授权的规则存在。

此外，组织还应实施零信任架构，限制用户和系统的默认访问权限，并要求多因素认证（MFA）进行身份验证。对于高风险账户，如域管理员，应进一步加强监控和审计，及时发现并响应异常活动。最后，定期进行安全培训和模拟攻击演练，提高员工的安全意识，降低社交工程攻击的成功率。

政府与行业的应对：协作与威胁情报共享

针对UNC6508等国家支持的网络间谍活动，政府和行业组织应加强协作，共享威胁情报，提升整体防御能力。Google等科技公司在发现和披露此类攻击活动中发挥了关键作用，但政府部门和监管机构也应制定更严格的安全标准，要求关键基础设施和研究机构采取更强的防护措施。

行业组织可以建立专门的威胁情报共享平台，让受害组织能够快速获取最新的攻击手法和防护策略。同时，政府可以通过立法或政策指导，要求企业定期报告网络安全事件，并对未能采取足够防护措施的组织进行问责。通过政府、企业和行业组织的协作，可以更有效地应对网络间谍活动的威胁。

未来趋势：合法工具滥用将成常态

UNC6508的攻击活动表明，网络间谍组织正在越来越多地滥用合法工具和功能进行隐蔽的攻击活动。随着云服务和第三方平台的普及，此类攻击手法可能成为未来网络威胁的常态。因此，安全厂商和企业需要转变传统的防护思路，不仅关注恶意软件和恶意网站，还要关注合法工具的滥用行为。

此外，随着人工智能和自动化技术的发展，网络攻击的复杂性和隐蔽性将进一步提升。UNC6508等组织可能利用AI技术优化攻击策略，实现更高效的情报收集和数据窃取。因此，企业和机构需要持续投入安全技术研发，提升对异常行为的检测和响应能力。

结论：提升安全意识与防护能力是关键

UNC6508的长期潜伏攻击活动为全球的研究机构和企业敲响了警钟。通过滥用REDCap服务器和Google Workspace合规规则，攻击者实现了对敏感数据的大规模窃取，且在超过一年的时间内未被发现。这一事件表明，传统的安全防护措施已无法满足当前的威胁环境，企业和机构必须采取更加主动和全面的防护策略。

面对日益复杂的网络威胁，提升安全意识、加强技术防护和建立协作机制是关键。只有通过多层次的防护措施和持续的安全投入，才能有效应对UNC6508等网络间谍组织的威胁，保护敏感数据和关键基础设施的安全。