Der Einstiegspunkt war REDCap, kurz für Research Electronic Data Capture, eine Webplattform, die Krankenhäuser und Universitäten zum Aufbau und Betrieb von Studiendatenbanken nutzen. Laut Google kompromittierte UNC6508 extern erreichbare REDCap-Server. Den ursprünglichen Zugriffsvektor konnte Google bislang nicht bestimmen; eine konkrete CVE-Nummer oder betroffene Versionen nennt das Unternehmen nicht. Beobachtet wurden jedoch Versuche der Gruppe, ältere und verwundbare Versionen anzugreifen.

Google hatte sowohl die Gruppe als auch ihre REDCap-Hintertür bereits im Februar in einem breiter angelegten Bericht über staatlich unterstützte Angriffe auf den Verteidigungssektor erwähnt. Im jetzt veröffentlichten Bericht beschreibt Googles Threat Intelligence Group die laufende Kampagne genauer. Der früheste bekannte Kompromiss datiert auf September 2023, Aktivitäten liefen demnach bis November 2025 weiter.

Rund drei Monate nach dem Eindringen installierte die Gruppe eine maßgeschneiderte Schadsoftware, die GTIG INFINITERED nennt. Sie manipuliert REDCap-Systemdateien. Nach der Kompromittierung führte UNC6508 interne Aufklärung und die Suche nach Zugangsdaten durch, zog Datenbank- und Dienstkonten-Zugangsdaten ab und bewegte sich mit diesen Anmeldedaten weiter in das interne Netzwerk bis zu einem Domänenadministrator-Konto. Den genauen Weg zu diesem Administratorkonto legt Google nicht offen.

Mit Administratorrechten richtete die Gruppe den E-Mail-Abfluss ein. Genutzt wurde dafür keine zusätzliche Exfiltrationssoftware auf dem Mailserver, sondern eine vorhandene Google-Workspace-Funktion: Inhalts-Compliance-Regeln. Diese legitime Administrationsfunktion kann E-Mails nach Schlüsselbegriffen durchsuchen und passende Nachrichten kopieren oder weiterleiten. UNC6508 legte laut Google eine Regel mit der fehlerhaft geschriebenen Bezeichnung „Patroit“ an. Sie überwachte fast 150 Schlüsselwörter, Suchbegriffe und E-Mail-Adressen. Traf eine Nachricht auf diese Kriterien zu, wurde sie unauffällig per Blindkopie an eine von den Angreifern kontrollierte Gmail-Adresse gesendet, die Google inzwischen deaktiviert hat.

Nach Einschätzung von Google ist der Missbrauch von E-Mail-Weiterleitungsregeln als Technik zwar bereits im MITRE-Katalog erfasst. Neu sei in diesem Fall jedoch der Einsatz von Inhalts-Compliance-Regeln auf Domänenebene für diesen Zweck; eine solche Methode habe GTIG bei einem China-nahen Akteur zuvor nicht beobachtet.

Die in der Regel hinterlegten Begriffe spiegelten laut Google die Sammelinteressen von UNC6508 wider: geostrategische Politik, Militärstrategie und -ausrüstung, fortgeschrittene Technologien einschließlich KI und unbemannter Fahrzeuge, offensive Cyberprogramme sowie medizinische Forschung. Als besonders spezifisch hebt Google den Begriff Chikungunya hervor, das durch Mücken übertragene Virus hinter einem Ausbruch 2025 in Chinas Provinz Guangdong.

Für die Abwehr nennt Google vor allem REDCap und die Mailregeln als Prüfpunkt. Extern erreichbare REDCap-Server sollten gepatcht und alte Versionen vollständig entfernt werden, nicht nur zusätzlich neben aktuellen Installationen bestehen bleiben. REDCap erlaubt den Parallelbetrieb älterer Versionen, was laut Google Herabstufungsangriffe ermöglicht. Auf der Mailseite rät das Unternehmen zur Prüfung von Inhalts-Compliance- und Weiterleitungsregeln auf Blindkopien oder Umleitungen an externe Adressen, zur Auswertung von Administrator-Audit-Protokollen auf Regeländerungen, zur Suche nach INFINITERED anhand der von GTIG veröffentlichten Indikatoren sowie zum Einsatz phishing-resistenter Mehrfaktor-Authentifizierung für Administratorkonten.