2026-06-18 00:00
← VoltarO Google Threat Intelligence Group (GTIG) identificou uma campanha conduzida por UNC6508, um ator de ameaça ligado à República Popular da China (RPC). A campanha não foi detectada por mais de um ano. Ele comprometeu aplicativos da Web externos, utilizou malware personalizado, migrou para sistemas internos e explorou ferramentas administrativas para exfiltração. O agente da ameaça normalmente tem como alvo os servidores REDCap. REDCap, uma plataforma de software para criação e gerenciamento de bancos de dados/pesquisas on-line, é comumente usada pela comunidade de pesquisa médica norte-americana. Três meses após o comprometimento, o agente da ameaça lançou uma carga útil de malware personalizada que o GTIG chama de INFINITERED. Denis Calderone, CTO da Suzu Labs, comenta: "A parte mais preocupante da campanha UNC6508 é que a correção teria preservado o compromisso. O INFINITERED se incorpora ao fluxo de trabalho de atualização do REDCap, de modo que quando uma instituição atualiza para corrigir vulnerabilidades, o malware sobrevive e reinfecta a nova versão.
Uma vez que o malware possui o fluxo de trabalho de atualização, o servidor não pode dizer que está limpo. Você precisa de validação externa para capturá-lo. “UNC6508 esteve dentro de uma instituição de pesquisa médica de setembro de 2023 a novembro de 2025, mais de dois anos antes de o Google os descobrir. O REDCap por design permite que os administradores mantenham versões legadas em execução junto com as atuais porque...
O Google Threat Intelligence Group (GTIG) identificou uma campanha conduzida por UNC6508, um ator de ameaça ligado à República Popular da China (RPC). A campanha não foi detectada por mais de um ano. Ele comprometeu aplicativos da Web externos, utilizou malware personalizado, migrou para sistemas internos e explorou ferramentas administrativas para exfiltração. O agente da ameaça normalmente tem como alvo os servidores REDCap. REDCap, uma plataforma de software para criação e gerenciamento de bancos de dados/pesquisas on-line, é comumente usada pela comunidade de pesquisa médica norte-americana. Três meses após o comprometimento, o agente da ameaça lançou uma carga útil de malware personalizada que o GTIG chama de INFINITERED. Denis Calderone, CTO da Suzu Labs, comenta: "A parte mais preocupante da campanha UNC6508 é que a correção teria preservado o compromisso. O INFINITERED se incorpora ao fluxo de trabalho de atualização do REDCap, de modo que quando uma instituição atualiza para corrigir vulnerabilidades, o malware sobrevive e reinfecta a nova versão.
Uma vez que o malware possui o fluxo de trabalho de atualização, o servidor não pode dizer que está limpo. Você precisa de validação externa para capturá-lo. “UNC6508 esteve dentro de uma instituição de pesquisa médica de setembro de 2023 a novembro de 2025, mais de dois anos antes de o Google os descobrir. O REDCap por design permite que os administradores mantenham versões legadas em execução junto com as atuais porque os estudos clínicos ativos dependem de versões específicas e não podem ser interrompidos no meio do teste. O problema é que essas versões mais antigas ainda apresentavam vulnerabilidades conhecidas de execução remota de código e estão no mesmo servidor, ainda voltadas para a Internet. UNC6508 foi testado especificamente para essas versões legadas. A instituição pode ter atualizado para o REDCap mais recente, mas a antiga versão vulnerável ainda estava lá.” Os alvos do ator de ameaça incluem: Inteligência de defesa sensível (uma questão de segurança nacional) Inteligência artificial Pesquisa médica Operações de comando do Indo-Pacífico Programas de ofensiva cibernética Sistemas de veículos não tripulados “Os alvos de coleta parecem uma lista de desejos de segurança nacional: dados de ensaios clínicos, pesquisa de descoberta de medicamentos, IA, tecnologia de drones, programas de ofensiva cibernética, operações de comando do Indo-Pacífico e pesquisa de doenças virais”, diz Calderone. “A técnica de exfiltração foi o que realmente nos chamou a atenção.
Temos aconselhado clientes sobre o problema de persistência de regras de caixa de correio do O365, onde os invasores criam regras de encaminhamento ocultas que sobrevivem às redefinições de senha. UNC6508 levou o mesmo conceito ao nível de administrador corporativo. Eles criaram regras de conformidade de conteúdo de domínio com filtros de palavras-chave para esses tópicos exatos e, em seguida, enviaram CCO silenciosamente todos os e-mails correspondentes para um endereço do Gmail controlado pelo invasor. Essa não é uma regra de caixa de correio no nível do usuário que seu SOC provavelmente detectará. “Se você estiver executando o REDCap, inspecione seus arquivos de atualização em busca de modificações não autorizadas usando as regras YARA publicadas pelo Google e remova quaisquer versões legadas imediatamente. Os pontos de extremidade de coleta de dados podem precisar de acesso externo para testes em vários sites, mas a interface administrativa não. regras de caixa de correio após o problema do O365, mas não olhou para as políticas de nível de administrador, faça isso agora.”