Кибершпионская группа, связанная с Пекином, провела более года, внедряясь в исследовательские учреждения по всей Северной Америке, прежде чем была обнаружена, согласно новому отчету Google.
В отчёте, опубликованном 15 июня, группа Google Threat Intelligence Group сообщила, что кампания взлома, которая длилась с сентября 2023 по ноябрь 2025 года, была направлена в первую очередь на академические, медицинские и военные исследовательские организации в США и Канаде.
Согласно докладу, злоумышленники искали информацию от медицинских исследований до оборонной разведки, военной стратегии в Индо-Тихоокеанском регионе, искусственного интеллекта, беспилотных аппаратов и кибервойны.
Группа хакеров, которую Google отслеживает как UNC6508, считается, активна как минимум с 2023 года. Эксперты Google по кибербезопасности начали отслеживать злоумышленника в начале 2025 года и упомянули его в отчёте, опубликованном в феврале.
Команда Google не назвала затронутые учреждения, но описала их как «разнообразный набор национальных, государственных и частных медицинских организаций», которые вместе нанимают тысячи сотрудников и контролируют исследовательские бюджеты на миллиарды долларов. Компания заявила, что нарушила инфраструктуру злоумышленников и уведомила каждого из выявленных жертв.
«Эти организации включают всемирно известных клинических специалистов, ведущие академические центры, военные медицинские учреждения Северной Америки, профессиональные группы по защите прав и регулирующие органы здравоохранения», — написала группа Google Threat Intelligence Group. «Их исследовательские направления охватывают широкий спектр современной медицины — от молекулярных открытий и клинических испытаний лекарств до государственной политики в области общественного здравоохранения и военной готовности.»
По данным группы, самая ранняя известная активность, связанная с кампанией, датируется сентябрем 2023 года, когда злоумышленники использовали серверы с REDCap — широко используемой веб-платформой для управления базами данных клинических исследований и опросов.
Google Threat Intelligence Group заявила, что пока неясно, как именно хакеры получили доступ к серверам REDCap, однако данные указывают на то, что они могли нацеливаться на организации, использующие уязвимые устаревшие версии приложения.
В одном из случаев, расследованных группой, злоумышленники развернули специализированный вредоносный инструмент под названием InfiniteRed, который собирал легитимные учетные данные REDCap и обеспечивал доступ к целевой сети. Оказавшись внутри, хакеры создали автоматизированную систему, которая пересылала письма с любым из почти 150 заранее заданных ключевых слов и поисковых запросов на подконтрольный им аккаунт Gmail.
Согласно докладу, приоритеты группы по извлечению информации «соответствуют стратегическим интересам» китайского режима.
Хотя большинство поисковых запросов касались обороны, геополитических вопросов и новых технологий, исследователи Google отметили, что особенно выделялся один термин — «чикунгунья».
Чикунгунья — это вирусное заболевание, переносимое комарами. Она оказалась в центре вспышки в южной провинции Гуандун в Китае, начавшейся в июле 2025 года.
В августе 2025 года китайские органы здравоохранения ввели ряд мер по стилю COVID-19 после того, как шесть провинций были признаны зонами высокого риска для профилактики и сдерживания чикунгунья. Примерно в то же время Центры по контролю и профилактике заболеваний США выпустили предупреждение о поездках в части Китая из-за вспышки. С тех пор тревога была снята.
Google не указала причин, почему группа проявила интерес к информации, связанной с чикунгунья.
Билл Пэн
(в пересказе) Мнение авторов может не совпадать с мнением редакции.
Cообщество журналистов. Non profit
