Die unglaubliche Heimlichkeit einer chinesischen Operation gegen die medizinische Forschung

Die Google Threat Intelligence Group (GTIG) hat eine Spionagekampagne aufgedeckt, die der Gruppe UNC6508 zugeschrieben wirdmit China verbunden. Aktiv von September 2023 bis November 2025griffen die Angreifer ein breites Spektrum akademischer, medizinischer und militärischer Forschungseinrichtungen in den Vereinigten Staaten und Kanada an.

Ihr Ziel war es, strategische Informationen zu so unterschiedlichen Themen wie Verteidigung, Operationen in der Indopazifik-Region, künstliche Intelligenz und modernste medizinische Forschung zu sammeln.

Wie gelang es den Angreifern einzudringen?

Der erste Einstiegspunkt war der Betrieb von REDCap-Serverneine in der Forschungsgemeinschaft weit verbreitete Webanwendung zur Verwaltung von Datenbanken und Online-Umfragen.

Obwohl der genaue Zugriffsvektor nicht offiziell identifiziert wurde, stellten Google-Forscher fest, dass UNC6508 alte und anfällige Versionen dieser Lösung untersuchte.

Ungefähr drei Monate nach den ersten Kompromittierungen setzten die Angreifer benutzerdefinierte Schadsoftware ein mit dem Namen UNENDLICH. Es wurde speziell für REDCap-Systeme entwickelt und lässt sich unauffällig in legitime Systemdateien integrieren.

Die Malware erfüllt drei Hauptfunktionen: Sie fängt den Aktualisierungsprozess ab, um dessen Persistenz sicherzustellen, sammelt Anmeldeinformationen und fungiert als Hintertür, die über in HTTP-Cookies versteckte Befehle ferngesteuert werden kann.

Mit welcher Methode exfiltrierten sie die Daten?

Der innovativste Teil dieser Kampagne liegt in der Datenexfiltrationstechnik, einer Methode, die noch nie zuvor bei mit China verbundenen Akteuren beobachtet wurde.

Nachdem sich UNC6508 mithilfe gestohlener Anmeldeinformationen Administratorzugriff verschafft hatte, missbrauchte es eine legitime Google Workspace-Funktion : Inhalts-Compliance-Regeln. Diese Regeln, die für die Verwaltung sensibler Kommunikation gedacht waren, wurden von ihrer ursprünglichen Verwendung abgelenkt.

Die Angreifer erstellten eine Regel mit der falschen Schreibweise „Patroit“, die alle ein- und ausgehenden E-Mails scannte. Wenn eine Nachricht eines von fast 150 vordefinierten Schlüsselwörtern enthielt (im Zusammenhang mit Geostrategie, Militärtechnologien oder medizinischer Forschung), wurde sie automatisch und stillschweigend in die Blindkopie übertragen an eine von den Angreifern kontrollierte Gmail-Adresse.

Dieser heimliche Ansatz ermöglichte eine kontinuierliche Datenexfiltration, ohne verdächtigen Netzwerkverkehr zu erzeugen oder zusätzliche Malware-Tools auf E-Mail-Servern zu erfordern.

Empfohlene Schutzmaßnahmen

Zum Schutz vor solchen Bedrohungen empfiehlt Google mehrere Maßnahmen, darunter die Aktualisierung der REDCap-Server und die Entfernung alter Versionen.

Administratoren sollten außerdem regelmäßig die Compliance- und E-Mail-Weiterleitungsregeln auf nicht autorisierte Änderungen prüfen.

Der Einsatz einer Phishing-resistenten Multi-Faktor-Authentifizierung für privilegierte Konten, wie z. B. Administratoren, bleibt eine wichtige Verteidigungsmaßnahme, um den Erstzugriff zu verhindern, der diese Art der Exfiltration ermöglicht.