Kutatások évekig kihasználva
A Google Threat Intelligence Group (GTIG) jelentése szerint a kínai állami érdekekkel összhangban működő UNC6508 csoport 2023 szeptembere és 2025 novembere között észrevétlenül folytatott hírszerző műveleteket észak-amerikai kutatóintézetek, egyetemek, egészségügyi szervezetek és katonai kutatási programok ellen. A kampány célja nem pénzszerzés, hanem stratégiai információgyűjtés volt, különös tekintettel a mesterséges intelligenciára, a nemzetvédelmi kutatásokra, a pilóta nélküli rendszerekre, a kiberhadviselési programokra és az orvostudományi fejlesztésekre.
A támadók elsődleges belépési pontként a kutatási környezetben széles körben használt REDCap (Research Electronic Data Capture) rendszereket használták. Külsőleg elérhető REDCap szervereket kompromittáltak, majd egy egyedi fejlesztésű malware-rel – a Google által INFINITERED néven azonosított eszközzel – hitelesítő adatokat gyűjtöttek. A megszerzett hozzáférésekkel később a belső hálózatokban mozogtak tovább, érzékeny rendszereket értek el, és legitim adminisztratív eszközöket használtak a felderítéshez és adatgyűjtéshez.
A művelet egyik legérdekesebb eleme az adatkinyerési módszer volt. A támadók nem tömeges adatlopást hajtottak végre, hanem olyan automatizált szabályokat állítottak be, amelyek közel 150 előre meghatározott kulcsszó alapján szűrték a levelezést. Az így kiválasztott e-maileket automatikusan egy támadói Gmail-fiókba továbbították. A keresett kifejezések között katonai stratégiai témák, Indo-Pacific műveletekre utaló fogalmak, AI-fejlesztések, autonóm rendszerek, kiberprogramok és orvosi kutatások szerepeltek. Ez a módszer csökkentette a hálózati zajt, miközben rendkívül célzott hírszerzési adatgyűjtést tett lehetővé.
A kampány jól illeszkedik a kínai kiberkémkedési műveletek ismert mintázatába: a célpontok között egyszerre jelentek meg civil kutatóintézetek, egészségügyi szervezetek és katonai kapcsolatokkal rendelkező egyetemek. A művelet arra utal, hogy Kína a hagyományos védelmi ipar mellett egyre nagyobb figyelmet fordít azokra a kutatási területekre is, amelyek hosszú távon technológiai vagy katonai előnyt biztosíthatnak, különösen a mesterséges intelligencia és a fejlett egészségügyi kutatások területén. A Google és a Mandiant a kampány felderítése után felszámolta az ismert infrastruktúra egy részét és értesítette az érintett szervezeteket.
