Drei Monate nach der anfänglichen Kompromittierung installierten die Angreifer nach Angaben von GTIG die maßgeschneiderte Malware „InfiniteRed“, die eigens für REDCap-Systeme entwickelt wurde. Um ihre Werkzeuge zu verbergen, trojanisierten sie Systemdateien des Servers. Die Malware besteht aus drei Komponenten: einem Modul für Persistenz und Updates, einem Zugangsdaten-Sammler sowie einer Hintertür.
Der Zugangsdaten-Sammler erfasst Benutzernamen und Passwörter, die über REDCap-Anmeldeseiten eingegeben werden. Anschließend verschlüsselt er diese Daten und speichert sie in lokalen Tabellen der REDCap-Datenbank, damit sie später abgerufen werden können. Die Hintertür nimmt Befehle über HTTP-Cookies entgegen und verschafft UNC6508 damit zusätzliche Steuerungsmöglichkeiten.
Als bemerkenswerte Technik der Kampagne hebt GTIG den Einsatz der legitimen Funktion „Inhalts-Compliance-Regeln“ hervor, die in cloudbasierten Produktivitätswerkzeugen für Unternehmen vorhanden ist. Darüber schleusten die Angreifer Daten per E-Mail aus. Nachdem sich UNC6508 Administratorzugriff verschafft hatte, richtete die Gruppe eine Inhalts-Compliance-Regel mit dem Namen „Patroit“ ein, die die Organisation nach bestimmten Schlüsselwörtern, Inhaltsmustern, E-Mail-Adressen und Telefonnummern durchsucht.
Treffer wurden anschließend automatisch als Blindkopie an „BebitaBarefoot774@gmail.com“ weitergeleitet; das Konto wurde laut Google inzwischen deaktiviert. Die verwendeten Schlüsselwörter zielten auf wertvolle Informationen aus medizinischer Forschung, fortgeschrittener Technologie, militärischen Themen und geostrategischer Politik. GTIG bezeichnet diese Methode als neu für China-nahe Bedrohungsakteure.
Die Forscher beobachteten in der Kampagne ein hohes Maß an operativer Abschirmung. Dazu zählten nach GTIG in den USA ansässige Residential-Proxy-Infrastruktur, kompromittierte Router, virtuelle private Server, die Wiederverwendung erbeuteter Zugangsdaten sowie dedizierte Infrastruktur für die Datenexfiltration.
Google teilte zudem mit, mehrere kompromittierte Organisationen in den USA und Kanada benachrichtigt zu haben, die mit InfiniteRed infiziert waren. Zu deren Forschungsgebieten erklärte das Unternehmen: „Ihre Forschungsbereiche decken ein breites Spektrum der modernen Medizin ab, von molekularer Entdeckung und klinischen Arzneimittelstudien bis hin zu staatlicher Gesundheitspolitik und militärischer Einsatzbereitschaft.“
REDCap-Administratoren empfiehlt Google, ihre Instanzen auf die neuesten verfügbaren Versionen zu aktualisieren und Altinstallationen zu entfernen. Zusätzlich rät das Unternehmen bei Konten mit hohen Rechten zu Mehrfaktor-Authentifizierung beziehungsweise Bestätigung in zwei Schritten sowie zu Device Bound Session Credentials, um das Kapern von Sitzungen zu verhindern. YARA-Regeln und Kompromittierungsindikatoren stellt der Bericht laut Google bereit, damit Umgebungen auf InfiniteRed-Infektionen geprüft werden können.