Google: Chinesische Cyberspionage zielte auf Medizin-, Militär- und KI-Forschung in Nordamerika

Zusammenfassung

Die Google Threat Intelligence Group (GTIG) hat eine Analyse zu Angriffen einer mit der chinesischen Regierung verbundenen Cyberspionagegruppe veröffentlicht. Die Gruppe wird von Google als UNC6508 verfolgt und soll nach Einschätzung der Forscher mindestens seit 2023 aktiv sein; GTIG beobachtet sie seit Anfang 2025. Im Mittelpunkt der dokumentierten Kampagne standen vor allem Ziele in Nordamerika, darunter große medizinische, akademische und militärische Forschungseinrichtungen. Google zufolge gehören dazu renommierte klinische Anbieter, führende akademische Zentren, militärische Gesundheitseinrichtungen in Nordamerika, Interessenvertretungen sowie Gesundheitsaufsichtsbehörden. Die betroffenen Forschungsfelder reichten laut GTIG von molekularer Forschung und klinischen Arzneimittelstudien bis hin zu staatlicher Gesundheitspolitik und militärischer Einsatzbereitschaft. Nach Angaben von Google griff die Gruppe wiederholt Server an, auf denen REDCap betrieben wird, eine Webplattform zum Aufbau und zur Verwaltung klinischer Forschungsdatenbanken und Umfragen im Medizinbereich. Wie die Angreifer Zugang zu den REDCap-Servern erlangten, ist laut Google unklar; Indizien sprechen jedoch dafür, dass sie es auf verwundbare Altsysteme abgesehen haben könnten.

GTIG ordnet UNC6508 einer staatlich unterstützten chinesischen Cyberspionage zu. Google hatte die Gruppe bereits in einem im Februar veröffentlichten Bericht erwähnt. Die nun beschriebene Kampagne richtete sich nach Angaben des Unternehmens vor allem gegen Organisationen in Nordamerika.

Besonders häufig nahmen die Angreifer laut GTIG Server mit REDCap ins Visier. Die Plattform wird im medizinischen Umfeld genutzt, um Forschungsdatenbanken und Umfragen zu erstellen und zu verwalten. Google erklärte, es sei bislang unklar, auf welchem Weg die Täter in diese Systeme eindrangen. Vorliegende Hinweise deuteten aber darauf hin, dass möglicherweise anfällige ältere Versionen angegriffen wurden.

In einem von Googles Forschern untersuchten Einbruch installierten die Angreifer drei Monate nach dem ersten Eindringen eine Schadsoftware namens InfiniteRed. Dabei handelt es sich laut der Analyse um eine eigens entwickelte Malware mit Funktionen als Dropper, zum Abfangen von Upgrades, zum Abgreifen von Zugangsdaten, als Backdoor sowie für Kommando-und-Kontrolle. Google entdeckte InfiniteRed auf Systemen mehrerer Organisationen in den USA und Kanada.

Darüber hinaus missbrauchte die Gruppe nach Angaben von GTIG eine legitime Funktion mit der Bezeichnung „content compliance rules“, um E-Mails zu bestimmten Themen auszuleiten. Aus den von den Angreifern eingerichteten Compliance-Regeln schloss Google, dass sich das Interesse der Operation nicht auf die bisher identifizierten Einrichtungen aus dem medizinischen Forschungsumfeld beschränkte.

Nach Einschätzung von GTIG war UNC6508 auch an wertvollen Erkenntnissen zu nationaler Sicherheit, Künstlicher Intelligenz, Drohnen, offensiver Cyberforschung, Verteidigungstechnologie, Marineeinheiten sowie diplomatischen und staatlichen Stellen und militärischen Kommandostrukturen interessiert.

Um ihre Aktivitäten zu verbergen, setzte die Gruppe laut Google auf Verschleierungsnetzwerke, in großer Zahl beschaffte Konten, legitime Zugangsdaten und speziell für die jeweilige Operation aufgebaute Infrastruktur. Google teilte mit, die Infrastruktur des Akteurs gestört und die identifizierten Opfer benachrichtigt zu haben.

Zusätzlich hat das Unternehmen technische Details und Kompromittierungsindikatoren veröffentlicht, um Verteidigern bei der Erkennung der Aktivitäten zu helfen.

Google: Chinesische Cyberspionage zielte auf Medizin-, Militär- und KI-Forschung in Nordamerika

Ähnliche Artikel

Neueste Artikel