Chińska kampania cyberwywiadowcza wykorzystała Google Workspace i REDCap do kradzieży poczty z sektora badań i obronności - Security Bez Tabu

Chińska kampania cyberwywiadowcza wykorzystała Google Workspace i REDCap do kradzieży poczty z sektora badań i obronności

Cybersecurity news

Wprowadzenie do problemu / definicja

Opisana kampania pokazuje, że nowoczesna eksfiltracja danych nie musi opierać się na klasycznym malware działającym bezpośrednio na serwerze pocztowym. Coraz częściej napastnicy nadużywają legalnych funkcji administracyjnych platform chmurowych, aby kopiować wiadomości e-mail do kontrolowanych przez siebie skrzynek bez wzbudzania podejrzeń.

W tym przypadku celem były organizacje z Ameryki Północnej związane z ochroną zdrowia, badaniami akademickimi oraz projektami o znaczeniu obronnym. Kluczowymi elementami operacji były kompromitacja publicznie dostępnych serwerów REDCap oraz wykorzystanie reguł zgodności treści w Google Workspace do cichego przechwytywania korespondencji.

W skrócie

  • Atak przypisano z wysokim poziomem pewności klastrowi UNC6508 powiązanemu z Chinami.
  • Punktem wejścia były wystawione do internetu serwery REDCap.
  • Na skompromitowanych systemach osadzono backdoora INFINITERED.
  • Złośliwe oprogramowanie przechwytywało dane logowania, utrzymywało trwałość po aktualizacjach i umożliwiało zdalne wykonywanie poleceń.
  • Po zdobyciu uprawnień administracyjnych napastnicy utworzyli w Google Workspace regułę zgodności treści kopiującą wybrane wiadomości do zewnętrznej skrzynki Gmail.
  • Znane ślady kompromitacji sięgają września 2023 roku, a aktywność trwała co najmniej do listopada 2025 roku.

Kontekst / historia

REDCap to szeroko wykorzystywana platforma do tworzenia i obsługi baz danych badawczych, popularna w szpitalach, uczelniach oraz instytucjach medycznych. Środowiska tego typu przetwarzają dane o wysokiej wartości operacyjnej, łącząc informacje kliniczne, organizacyjne i naukowe, dlatego stanowią atrakcyjny cel dla grup prowadzących działania cyberwywiadowcze.

W analizowanej kampanii zainteresowanie napastników wykraczało poza dane medyczne. Według opisu operacji celem były również informacje dotyczące polityki geostrategicznej, zaawansowanych technologii, systemów bezzałogowych, zdolności cyberofensywnych oraz zagadnień związanych z obronnością. Taki profil wskazuje na długofalową operację szpiegowską nastawioną na systematyczne pozyskiwanie informacji o znaczeniu strategicznym.

Analiza techniczna

Początkowy dostęp uzyskano przez zewnętrznie dostępne serwery REDCap. Nie wskazano jednoznacznie konkretnej podatności ani numeru CVE, jednak obserwacje sugerują, że operatorzy kampanii badali starsze, słabiej zabezpieczone wersje oprogramowania. Po uzyskaniu dostępu wdrożono niestandardowy backdoor nazwany INFINITERED.

Malware realizował kilka kluczowych funkcji. Modyfikował proces aktualizacji REDCap w taki sposób, aby złośliwy kod był ponownie osadzany po instalacji kolejnych wersji aplikacji. Przechwytywał także nazwy użytkowników i hasła wpisywane w formularzu logowania, zapisując je lokalnie w zaszyfrowanej formie. Dodatkowo działał jako kanał zdalnego dostępu sterowany za pomocą ciasteczek HTTP i aktywowany podczas ładowania strony.

Po osadzeniu się na serwerze napastnicy prowadzili rozpoznanie wewnętrzne, pozyskiwali poświadczenia kont usługowych i bazodanowych oraz przemieszczali się lateralnie w środowisku. Ostatecznie zdobyli konto administratora domeny, co otworzyło drogę do wykorzystania natywnych funkcji Google Workspace jako kanału eksfiltracji.

Mechanizm kradzieży wiadomości opierał się na legalnej funkcji analizy treści poczty i egzekwowania polityk zgodności. Atakujący utworzyli regułę domenową monitorującą wiadomości pod kątem blisko 150 słów kluczowych, fraz oraz adresów e-mail. Gdy wiadomość spełniała warunki reguły, była automatycznie kopiowana metodą BCC do skrzynki kontrolowanej przez napastników. To podejście ogranicza widoczne ślady typowe dla klasycznej eksfiltracji, ponieważ nie wymaga instalowania malware na serwerze pocztowym ani generowania nietypowego ruchu wychodzącego.

Warto podkreślić, że reguły przekazywania poczty są znaną techniką nadużywaną przez intruzów, jednak wykorzystanie domenowych reguł zgodności treści jako mechanizmu selektywnego kopiowania wiadomości pozostaje rozwiązaniem szczególnie podstępnym. To sygnał, że zespoły bezpieczeństwa muszą rozszerzyć monitoring o nadużycia funkcji administracyjnych w usługach SaaS.

Konsekwencje / ryzyko

Skutki takiej kampanii mogą być bardzo poważne. Długotrwały dostęp do środowisk obsługujących badania naukowe, ochronę zdrowia i projekty obronne oznacza możliwość systematycznego pozyskiwania wrażliwej korespondencji, planów badawczych, danych współpracy międzyinstytucjonalnej oraz informacji o znaczeniu strategicznym.

Ryzyko zwiększa fakt, że użycie natywnych funkcji Google Workspace utrudnia wykrycie incydentu przez rozwiązania skoncentrowane głównie na malware, wskaźnikach kompromitacji i anomaliach ruchu sieciowego. Dodatkowo trwałość uzyskana na poziomie aplikacji REDCap może pozwolić napastnikom na dalsze działanie nawet po pozornym wykonaniu standardowych prac naprawczych.

Dla organizacji regulowanych taki incydent może oznaczać nie tylko utratę poufności, ale również naruszenie wymogów compliance, konieczność notyfikacji, koszty obsługi prawnej oraz długofalowe straty reputacyjne. W przypadku podmiotów związanych z obronnością dochodzi także ryzyko konsekwencji geopolitycznych.

Rekomendacje

Organizacje korzystające z REDCap powinny przeprowadzić pełny przegląd wszystkich publicznie dostępnych instancji, w tym starszych wersji działających równolegle. Samo wdrożenie aktualizacji może być niewystarczające, jeśli w środowisku nadal pozostają nieużywane lub przestarzałe komponenty stanowiące potencjalny punkt wejścia.

  • Zweryfikować integralność plików aplikacyjnych REDCap i procesów aktualizacji.
  • Przeanalizować lokalne tabele baz danych pod kątem nietypowych zapisów poświadczeń.
  • Przeprowadzić hunting pod kątem artefaktów powiązanych z backdoorem INFINITERED.
  • Monitorować nietypowe użycie ciasteczek HTTP oraz nieautoryzowane zmiany w logice aplikacji.
  • Skontrolować wszystkie reguły content compliance, routingu, automatycznego przekazywania i BCC do zewnętrznych odbiorców w Google Workspace.
  • Przeanalizować logi audytowe zmian administracyjnych, aby ustalić moment utworzenia lub modyfikacji reguł.
  • Wdrożyć MFA odporne na phishing dla kont uprzywilejowanych oraz zasadę najmniejszych uprawnień.
  • Uruchomić alertowanie na tworzenie nowych reguł domenowych kopiujących wiadomości do zewnętrznych domen.
  • Rotować poświadczenia kont technicznych i usługowych, a nie tylko resetować hasła użytkowników końcowych.

W działaniach reakcyjnych należy założyć, że kompromitacja serwera aplikacyjnego mogła doprowadzić do przejęcia kont usługowych, dostępu do bazy danych i eskalacji do poziomu administracyjnego. Oznacza to konieczność pełnej walidacji zaufania do hostów oraz przeglądu ścieżek ruchu lateralnego.

Podsumowanie

Ta kampania jest wyraźnym przykładem ewolucji działań cyberwywiadowczych w środowiskach chmurowych. Napastnicy połączyli kompromitację aplikacji badawczej, długoterminową kradzież poświadczeń i nadużycie natywnych funkcji Google Workspace w celu cichej eksfiltracji wiadomości e-mail.

Najważniejszy wniosek dla obrońców jest jednoznaczny: skuteczne wykrywanie incydentów nie może ograniczać się do poszukiwania malware. Równie istotne staje się monitorowanie zmian konfiguracyjnych, nadużyć funkcji administracyjnych oraz mechanizmów trwałości ukrytych w aplikacjach biznesowych wystawionych do internetu.

Źródła

  1. Chinese Hackers Abused Google Workspace Rules to Steal Research and Defense Emails — https://thehackernews.com/2026/06/chinese-hackers-abused-google-workspace.html
  2. REDCap — Research Electronic Data Capture — https://projectredcap.org/
  3. MITRE ATT&CK: Email Forwarding Rule — https://attack.mitre.org/techniques/T1114/003/