GTIG beschreibt die Kampagne als langfristige Spionageoperation gegen Forschung und verteidigungsnahe Kommunikation. Die früheste bekannte Kompromittierung datiert Google auf September 2023, Aktivitäten beobachtete das Unternehmen bis November 2025. Google hatte sowohl den Akteur als auch dessen REDCap-Hintertür bereits im Februar in einem breiter angelegten Bericht über staatlich unterstützte Angriffe auf den Verteidigungssektor erwähnt.
Der Einstiegspunkt war REDCap, kurz für Research Electronic Data Capture, eine Webplattform, die Krankenhäuser und Universitäten zum Aufbau und zur Verwaltung von Studiendatenbanken einsetzen. UNC6508 kompromittierte laut Google öffentlich erreichbare REDCap-Server. Den ursprünglichen Zugriffsvektor konnte Google nach eigenen Angaben nicht bestimmen; ebenso nannte das Unternehmen weder eine konkrete CVE-Nummer noch betroffene Versionen. Beobachtet wurden allerdings Zugriffe auf ältere, verwundbare REDCap-Versionen.
Etwa drei Monate nach dem Eindringen installierte die Gruppe eine angepasste Schadsoftware, die GTIG INFINITERED nennt. Diese manipuliert systemeigene REDCap-Dateien. Anschließend führte UNC6508 interne Aufklärung und die Suche nach Zugangsdaten durch, zog Datenbank- und Dienstkonten-Zugangsdaten ab und bewegte sich mit diesen Anmeldedaten weiter durch das interne Netzwerk bis hin zu einem Domänenadministrator-Konto. Wie genau dieser Schritt gelang, führt Google nicht aus.
Mit Administratorrechten richtete die Gruppe dann die eigentliche Exfiltration ein. Missbraucht wurde keine zusätzliche Mailserver-Malware und auch kein separates Werkzeug zur Datenabfuhr, sondern eine vorhandene Verwaltungsfunktion in Google Workspace: Inhaltsprüfungsregeln. Diese legitime Admin-Funktion kann E-Mails nach Schlüsselwörtern durchsuchen und passende Nachrichten kopieren oder weiterleiten.
UNC6508 legte laut GTIG eine Regel mit dem Schreibfehler „Patroit“ an. Sie überwachte nahezu 150 Schlüsselwörter, Suchbegriffe und E-Mail-Adressen. Traf eine Nachricht auf eines dieser Kriterien zu, verschickte Google Workspace unbemerkt eine Blindkopie an eine von den Angreifern kontrollierte Gmail-Adresse, die Google inzwischen deaktiviert hat. Gerade diese Nutzung von Domänen-Inhaltsprüfungsregeln hebt GTIG als neu hervor: Zwar sei der Missbrauch von Weiterleitungsregeln für E-Mails im MITRE-Katalog bereits als bekannte Technik erfasst, die Verwendung von Inhaltsprüfungsregeln in dieser Form habe Google bei einem China-nahen Akteur bislang nicht gesehen.
Die von GTIG beobachteten Schlüsselwörter spiegelten nach Einschätzung des Unternehmens die Sammelinteressen von UNC6508 wider: geostrategische Politik, Militärstrategie und -ausrüstung, fortgeschrittene Technologien einschließlich KI und unbemannter Fahrzeuge, offensive Cyberprogramme sowie medizinische Forschung. Ein besonders spezifischer Begriff war „Chikungunya“, das von Mücken übertragene Virus, das hinter einem Ausbruch 2025 in der chinesischen Provinz Guangdong steht.
Google rät Organisationen, bei REDCap anzusetzen: Öffentlich erreichbare Server sollten gepatcht und alte Versionen vollständig entfernt werden, nicht nur parallel zur aktuellen Version weiterlaufen. REDCap erlaubt den Betrieb älterer Versionen neben der aktuellen Ausgabe; genau das begünstigt laut Google Herabstufungsangriffe, bei denen Software auf eine bekannte verwundbare Version zurückgesetzt wird.
Auf der Mail-Seite empfiehlt GTIG die Prüfung von Inhaltsprüfungs- und Weiterleitungsregeln in Google Workspace oder vergleichbaren Cloud-Mail-Plattformen, insbesondere wenn Nachrichten per Blindkopie oder Umleitung an externe Adressen gehen. Zusätzlich sollten Administrator-Auditprotokolle auf Änderungen an Regeln untersucht, die von GTIG veröffentlichten Indikatoren abgeglichen und nach INFINITERED gesucht werden. Für Administratorkonten empfiehlt Google phishing-resistente Multi-Faktor-Authentifizierung, da der E-Mail-Diebstahl in diesem Fall auf Administratorzugriff beruhte.