Im Zentrum der Kampagne steht die Schadsoftware InfiniteRed, die GTIG als maßgeschneidert für REDCap beschreibt. Sie besteht aus drei Komponenten: einem Modul für Persistenz und Aktualisierungen, einem Zugangsdaten-Sammler und einer Backdoor. Der Zugangsdaten-Sammler erfasst Benutzernamen und Passwörter, die über REDCap-Anmeldeseiten eingegeben werden, verschlüsselt sie und speichert sie in lokalen Tabellen der REDCap-Datenbank zur späteren Abholung.

Die Backdoor empfängt Befehle über HTTP-Cookies. Welche konkreten Kommandos darüber ausgeführt wurden, nennt der Quelltext nicht, wohl aber, dass UNC6508 damit dauerhaft Zugriff auf die kompromittierte Umgebung erhielt. Google betont zudem, dass die Angreifer Komponenten der Malware versteckten, indem sie Systemdateien des Servers manipulierten.

Auffällig ist laut GTIG eine Technik, die die Forscher bei China-nahen Akteuren in dieser Form als neu einordnen: die missbräuchliche Nutzung legitimer Funktionen für Inhalts-Compliance in cloudbasierten Produktivitätswerkzeugen, um Daten per E-Mail auszuleiten. Nachdem UNC6508 Administratorrechte erlangt hatte, legte die Gruppe eine Inhalts-Compliance-Regel mit dem Namen „Patroit“ an. Diese Regel durchsuchte die Organisation nach bestimmten Schlüsselwörtern, Inhaltsmustern, E-Mail-Adressen und Telefonnummern.

Treffer wurden anschließend automatisch als Blindkopie an „BebitaBarefoot774@gmail.com“ gesendet. Das Konto ist laut Google inzwischen deaktiviert. Die verwendeten Suchbegriffe zielten auf wertvolle Informationen aus medizinischer Forschung, fortgeschrittener Technologie, militärischen Themen und geostrategischer Politik.

GTIG beobachtete in der gesamten Kampagne ein hohes Maß an operativer Abschirmung. Dazu gehörten laut Google eine in den USA angesiedelte Infrastruktur aus Residential Proxies, kompromittierte Router, virtuelle private Server, Credential Replay sowie dedizierte Infrastruktur für die Datenexfiltration. Google teilte außerdem mit, mehrere kompromittierte Organisationen in den USA und Kanada über Infektionen mit InfiniteRed informiert zu haben.

Zu den betroffenen Einrichtungen sagt Google: „Ihre Forschungsbereiche decken ein breites Spektrum der modernen Medizin ab, von molekularer Forschung und klinischen Arzneimittelstudien bis hin zu staatlicher Gesundheitspolitik und militärischer Einsatzbereitschaft.“ Damit macht der Bericht deutlich, dass die Kampagne nicht nur klassische medizinische Forschungsdaten im Blick hatte.

Als Reaktion empfiehlt Google REDCap-Administratoren, ihre Instanzen auf die neuesten verfügbaren Versionen zu aktualisieren und veraltete Bereitstellungen zu entfernen. Für Konten mit hohen Rechten rät das Unternehmen zudem zu MFA beziehungsweise 2SV sowie zu Device Bound Session Credentials, um Sitzungsübernahmen zu verhindern. YARA-Regeln und Kompromittierungsindikatoren stellt Google im Bericht bereit, damit Sicherheitsteams ihre Umgebungen auf InfiniteRed-Infektionen prüfen können.