CEVIU Logo
Voltar
🕵️‍♂️CEVIU Segurança da Informação

UNC6508: ator estatal chinês espionou pesquisadores dos EUA por um ano usando REDCap e IPs locais para disfarce

Aprofundamento CEVIU

Aprofundamento

O UNC6508 não é só mais um grupo de espionagem chinês: é um exemplo avançado de operação que desafia a detecção por design. Em vez de depender de malware em endpoints ou tráfego suspeito, ele se aprofundou no ciclo de vida do REDCap, uma plataforma de pesquisa médica com atualizações frequentes e suporte a versões legadas. O Infinitered foi construído para se entrelaçar com o processo de upgrade legítimo do sistema: seu dropper injeta código nos arquivos de atualização oficiais, garantindo persistência mesmo após correções de segurança. Isso torna inútil a simples aplicação de patches, o malware sobrevive à atualização.

A exfiltração via regra de conformidade 'Patriot' é ainda mais perigosa: ela não gera alertas em firewalls ou EDRs porque usa recursos nativos do Google Workspace. Nenhum dado sai pela rede como tráfego C2; tudo flui como e-mail legítimo, encaminhado automaticamente por uma política interna. É uma forma de 'exfiltração por consentimento', onde o próprio ambiente de defesa autoriza a saída dos dados, só que sem saber.

O que mudou

Em comparação com o Velvet Ant (que operou por dez anos em redes air-gapped usando túneis manuais e autenticação comprometida), o UNC6508 representa uma evolução tática clara: trocou a complexidade de infraestrutura física por sofisticação lógica. Enquanto o Velvet Ant precisava de acesso físico repetido para manter túneis, o UNC6508 se sustentou por 14 meses inteiramente dentro do ciclo de atualização de software e das políticas de e-mail da vítima, sem precisar de nenhum backdoor tradicional nem de ferramentas LOLBin. Também difere do TA416, que ainda depende de phishing e OAuth para entrada: o UNC6508 entrou direto pelo servidor exposto, sem interação humana.

Por que isso importa

Instituições de pesquisa não são alvos secundários, são centros de inteligência estratégica não protegidos como contratados de defesa. Um laboratório que estuda o vírus Chikungunya em julho de 2025 está gerando dados sensíveis para a resposta a surtos na China. A NSA já alertou que atores chineses estão pré-posicionados em infraestruturas críticas de comunicação, energia e transporte nos EUA. O UNC6508 mostra que o próximo passo não é só roubar dados, mas manipular as próprias regras de governança digital da organização para fazer isso invisivelmente. Se sua equipe de TI confia em logs de e-mail ou em atualizações de software como 'limpas', esse caso quebra essa suposição.

Linha do tempo

  1. Início da atividade conhecida do UNC6508 contra servidor REDCap de universidade médica norte-americana

  2. Fim da campanha ativa do UNC6508, após 14 meses de operação contínua

  3. NSA, NCSC UK e ACSC Austrália publicam aviso conjunto sobre uso de botnets SOHO por atores chineses

  4. CEVIU divulga descoberta do Velvet Ant operando por dez anos em rede crítica com túneis para ambientes air-gapped

  5. Google e Mandiant revelam detalhes técnicos da campanha UNC6508 e sua técnica de exfiltração via regra de conformidade

Perguntas frequentes

Por que o REDCap foi tão vulnerável a esse tipo de ataque?

O REDCap permite executar versões antigas ao lado de novas, criando brechas de downgrade. O Infinitered explora justamente essa característica: ele se instala nos scripts de atualização legítimos, garantindo que mesmo após um patch, o código malicioso seja reescrito automaticamente. Não é uma falha de configuração, é uma consequência do modelo de manutenção da plataforma.

Como detectar uma regra de conformidade maliciosa como a 'Patriot'?

Monitore alterações em políticas de email e DLP feitas por contas com privilégios elevados. Regras que usam regex genéricos (como .*militar.*|.*defesa.*|.*chikungunya.*) e redirecionam para contas externas devem acionar alertas imediatos. Verifique também logs de administração do Google Workspace, a criação dessas regras deixa rastros claros, mesmo que o tráfego não seja detectado.

Autenticação de dois fatores resolve esse problema?

Não totalmente. O UNC6508 não precisou de MFA porque capturou credenciais diretamente no login do REDCap, antes de qualquer verificação adicional. Ele também não usou sessões ativas: o Infinitered executa com privilégios de sistema no servidor. A solução real é MFA resistente a phishing (como FIDO2) + restrição de acesso a servidores REDCap apenas por VPN corporativa com certificados, não por IP aberto.

Esse ataque afeta só instituições médicas?

Não. Qualquer organização que use REDCap, incluindo universidades, agências de saúde pública e até órgãos regulatórios, está em risco. Mais grave: o método de exfiltração via regra de conformidade funciona em qualquer ambiente que use Google Workspace, Microsoft 365 ou soluções similares com políticas de encaminhamento automatizado. O alvo é o padrão, não o setor.

Links relacionados

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
18 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Assinar newsletterVer mais de CEVIU Segurança da Informação
Conteúdo curado diariamenteDiversas categoriasCancele quando quiser