Nach Darstellung von GTIG und Mandiant war der Umfang der Sammlung ungewöhnlich breit. Patrick Whitsell, leitender Sicherheitsingenieur bei GTIG, sagte Dark Reading, die Aktivität passe zwar zu historischen Nachrichtendienstzielen der Volksrepublik China, doch „der breite Umfang ihrer Sammlungskriterien an einem einzelnen Standort war höchst ungewöhnlich“. Zu den angepeilten Themen gehörten laut Whitsell Militärstrategie und -programme, Außenpolitik, fortgeschrittene Verteidigungstechnologie, medizinische Forschung und Unternehmen der Verteidigungsindustrie.
Die früheste bekannte Aktivität datiert GTIG auf September 2023. Damals nutzte UNC6508 extern erreichbare Server der Universität für REDCap aus, eine Webanwendung für klinische Forschung. Anschließend installierte die Gruppe die maßgeschneiderte Malware Infinitered, um Anmeldedaten für REDCap abzugreifen. Die bösartige Aktivität setzte sich laut Bericht kontinuierlich bis November 2025 fort.
Zunächst blieb die Gruppe mehr als ein Jahr lang unentdeckt, bevor sie die erbeuteten Zugangsdaten nutzte, um auf das interne Netzwerk des Opfers zuzugreifen. Drei Monate nach dem ersten Eindringen kompromittierte UNC6508 laut GTIG extern erreichbare Webanwendungen, setzte eigens entwickelte Malware ein und missbrauchte Administrationswerkzeuge des Unternehmens, um Daten verdeckt abzuleiten.
Den von GTIG beschriebenen Ablauf fasst der Bericht so zusammen: Ausnutzung des REDCap-Servers, spätere Installation von Infinitered zum unauffälligen Mitschneiden von Zugangsdaten und zur Persistenz über Upgrades hinweg für mehr als ein Jahr, Nutzung gestohlener Anmeldedaten für den Zugriff auf ein Domain-Administrator-Konto, Einrichtung einer bösartigen Regel zur Inhaltsüberprüfung und Weiterleitung von E-Mails mit strategisch relevanten Schlüsselwörtern an ein vom Angreifer kontrolliertes Konto. Whitsell sagte Dark Reading, man habe die Zielrichtung der Datensammlung anhand der konkreten Schlüsselwörter in diesen bösartigen Regeln bestimmt.
Einige Merkmale entsprachen laut GTIG bekannten, hochentwickelten Aktivitäten China-naher Akteure, etwa der langfristige verdeckte Zugriff. Auch Infinitered spricht aus Sicht der Forscher dafür: Die Malware sei speziell für REDCap-Server entwickelt worden und funktioniere ausschließlich dort. Das zeige „ein Maß an zielgerichteter technischer Entwicklung“, das zu den ausgefeilten Taktiken China-naher Akteure passe, so Whitsell.
An anderen Stellen wich UNC6508 jedoch von üblichen Vorgehensweisen ab. Besonders hervor hebt GTIG die Datenabfuhr über manipulierte Regeln zur Domain-Inhaltskontrolle. Diese neuartige und „kreative“ Methode setze weder auf Malware noch auf übliche Bordmittel und sei deshalb schwer zu erkennen, weil sie viele traditionelle Endpunkt- und Netzwerkschutzmechanismen umgehe, sagte Whitsell.
Auch bei der Verschleierung ihrer Aktivitäten ging die Gruppe anders vor als viele andere China-gestützte Akteure. Nach Angaben von GTIG nutzte UNC6508 ausschließlich IP-Adressen aus den USA innerhalb seines Verschleierungsnetzwerks, um sowohl Zielumgebungen als auch eigene Angreifer-Infrastruktur zu erreichen. Normalerweise seien die verwendeten IP-Adressen bei solchen Netzwerken eher zufällig, sagte Whitsell. Das deute auf eine sorgfältige operative Absicherung und auf das Verständnis hin, dass Anmeldungen von nicht in den USA verorteten IP-Adressen bei den Zielen Verdacht erregen würden.
Google zufolge wurde die mit UNC6508 verbundene bösartige Infrastruktur gestört. Zudem informierte das Unternehmen die betroffenen Organisationen nach der Entdeckung, bot Unterstützung bei der Behebung an und aktualisierte Google Security Operations mit den relevanten Erkenntnissen, damit Verteidiger Kompromittierungsindikatoren in ihren Netzwerken erkennen können.