DeafNews
// 3 ZERO-DAY · 4 CVE · 2 EXPLOIT NELLE ULTIME 24H
Cybersecurity

APT cinese UNC6508: un anno di spionaggio su server REDCap

Published: Updated: By DeafSuite team 7 min read Cybersecurity
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Google svela UNC6508: oltre un anno di compromissione server REDCap in istituti medici e militari USA/Canada con malware InfiniteRed e esfiltrazione via Gmail.

Il 15 giugno 2026 Google Threat Intelligence Group rende pubblica l'operazione di UNC6508, gruppo tracciato dalla corporation come attivo almeno dal settembre 2023. Per oltre un anno — fino al novembre 2025 — gli operatori hanno mantenuto accesso persistente a server REDCap in istituzioni mediche, accademiche e militari nordamericane, esfiltrando dati di ricerca clinica e militare attraverso un abuso tecnico di funzionalità legittime di Google Workspace.

Punti chiave
  • UNC6508 ha compromesso server REDCap come vettore di accesso iniziale in istituzioni mediche, accademiche e militari di Stati Uniti e Canada tra settembre 2023 e novembre 2025.
  • Il malware custom InfiniteRed, deployato tre mesi dopo l'intrusione iniziale, intercetta aggiornamenti REDCap, raccoglie credenziali e apre backdoor con custom hooks.
  • L'esfiltrazione passava per content compliance rules di Google Workspace: email filtrate per circa 150 keyword venivano inoltrate in BCC a un account Gmail controllato dagli attaccanti.
  • Le keyword di ricerca includevano temi di strategia militare, tecnologia avanzata e ricerca medica; il target includeva specificamente ricerca su Chikungunya legata a un focolaio nel Guangdong del luglio 2025.

REDCap come porta d'ingresso: il vettore e il punto cieco

REDCap (Research Electronic Data Capture) è un'applicazione web Vanderbilt per la gestione di studi clinici, utilizzata globalmente da ospedali e università. Secondo la fonte citata, gli attaccanti hanno preso regolarmente di mira server che ospitavano questa piattaforma. Google afferma che "non è chiaro come gli attaccanti abbiano ottenuto l'accesso iniziale", ipotizzando il targeting di versioni legacy vulnerabili.

InfiniteRed è stato identificato su sistemi di multiple organizzazioni negli Stati Uniti e in Canada, confermando la portata geografica dell'operazione. Il malware modulare a tre componenti — accesso remoto persistente tramite intercettazione degli aggiornamenti REDCap, credential harvester, e backdoor con hook personalizzati — è stato deployato tre mesi dopo l'intrusione iniziale.

InfiniteRed: architettura modulare e intercettazione degli upgrade

Il meccanismo di persistenza di InfiniteRed si distingue per la sua integrazione nel flusso di aggiornamento dell'applicazione target. Il malware inietta il proprio codice nelle nuove versioni di REDCap man mano che vengono rilasciate, garantendo continuità operativa anche dopo patch o aggiornamenti di sicurezza. Questa tecnica di upgrade interception riduce la necessità di riaccesso iniziale e complica la detection da parte di strumenti tradizionali.

Il componente di credential harvesting ha permesso agli operatori di ottenere login REDCap. Il dossier non specifica il numero esatto di credenziali compromesse né la natura dei sistemi raggiunti con queste credenziali.

L'abuso delle compliance rules: esfiltrazione invisibile su Gmail

La fase di esfiltrazione si è avvalsa di una tecnica insidiosa: l'uso delle content compliance rules di Google Workspace, funzionalità legittime progettate per la governance aziendale degli email. Gli attaccanti hanno creato una regola denominata "Patroit" — errore ortografico di "Patriot" — che filtrava le email in base a circa 150 keyword e le inoltrava in BCC all'indirizzo BebitaBarefoot774@gmail.com.

"We're seeing this show up primarily at medical research institutions...Why are they searching for things like unmanned drones and unmanned vehicles?" — Luke McNamara, Google Threat Intelligence Group, via The Register

Le keyword documentate dalla fonte coprono aree di geo-strategic policy, military strategy, advanced technology e medical research. L'uso di compliance rules legittime rende la detection basata su indicatori tradizionali inefficace: il traffico esfiltrato si presenta come flusso email aziendale standard, generato da funzionalità autorizzate.

Google ha disabilitato l'account Gmail per bloccare l'esfiltrazione. La fonte non specifica se l'account sia stato utilizzato esclusivamente per questa campagna o se servisse anche altri obiettivi.

Dai focolai di Chikungunya all'IA militare: cosa cercavano

L'operazione non si limitava a dati clinici generici. Tra i target identificati figura la ricerca su Chikungunya, un arbovirus trasmesso da zanzare, in relazione a un focolaio documentato nella provincia cinese del Guangdong nel luglio 2025. Le stesse infrastrutture ospitavano ricerca su droni non equipaggiati, veicoli autonomi e intelligenza artificiale applicata al settore difesa.

La domanda posta da McNamara — "Perché cercano cose come droni senza pilota e veicoli senza conducente?" — rimanda a una lettura più ampia. La fonte riporta una seconda citazione dello stesso analista: "Forse stavano copiando e incollando questo su multiple vittime, incluse alcune al di fuori dello spazio della ricerca medica?" Questa ipotesi, formulata dalla fonte stessa, introduce incertezza sulla specializzazione originale della campagna.

Cosa fare adesso

Per le organizzazioni che utilizzano REDCap, il dossier Google impone tre verifiche immediate. Prima: audit degli aggiornamenti REDCap degli ultimi 24 mesi per rilevare iniezioni di codice sospetto nel flusso di upgrade, data la tecnica di interception documentata. Seconda: revisione delle content compliance rules attive in Google Workspace per identificare regole con nomi anomali o inoltri BCC non autorizzati, con particolare attenzione a regole che filtrino email per keyword di natura strategica o medica. Terza: analisi retrospettiva dei log di accesso REDCap per identificare login da credenziali potenzialmente compromesse nel periodo settembre 2023-novembre 2025.

Google ha notificato le vittime identificate, ma sospetta che altre organizzazioni non rilevate possano essere state compromesse. Le istituzioni con profili di ricerca sovrapposti — medica, militare, AI — dovrebbero considerare la verifica indipendentemente dalla ricezione di notifica diretta.

Perché è importante

Il dossier presenta limiti significativi per la risposta operativa immediata. Il vettore di accesso iniziale rimane non confermato; non emergono sovrapposizioni infrastrutturali che colleghino UNC6508 a gruppi APT cinese noti con altri tracking name; il numero esatto di organizzazioni compromesse non è stato divulgato da Google.

La fonte non documenta misure correttive specifiche per le vittime identificate né procedure di verifica per le istituzioni non notificate. La persistenza di oltre un anno in reti sensibili — con esfiltrazione attiva tramite infrastruttura Google — indica una capacità di mimetizzazione superiore alla media, che non dipende da vulnerabilità zero-day ma dall'abuso di funzionalità legittime e dalla mancata segmentazione tra piattaforme di ricerca e sistemi di comunicazione aziendale.

La campagna UNC6508 rappresenta un caso studio nella convergenza tra spionaggio economico, intelligence medica e raccolta informazioni militari, eseguita attraverso un'unica infrastruttura di compromissione con accesso iniziale su piattaforma di ricerca clinica.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Approfondimenti correlati

  • Malware bug: 90% campioni leaked hanno weakness sfruttabili
  • ICS Patch Tuesday giugno 2026: Siemens, Schneider e Phoenix Contact
  • CVE-2026-50751: Check Point VPN sotto attacco Qilin, patch 8 giugno

Fonti

Fonti e riferimenti
  1. securityweek.com
  2. cybernews.com
  3. theregister.com
  4. thehackernews.com
  5. cisa.gov
  6. nvd.nist.gov