El Engaño Perfecto: Cómo UNC6508 Abusó de las Reglas de Google Workspace para Robar Información de Investigación
Una operación de espionaje de gran escala demostró una vulnerabilidad crítica en la confianza de las infraestructuras de investigación de Norteamérica. Un grupo vinculado a China, identificado como UNC6508, logró infiltrarse en redes médicas, académicas y militares, no solo robando datos sensibles, sino utilizando una técnica de exfiltración extremadamente sutil: manipular las propias reglas de correo electrónico de Google Workspace. Este caso subraya cómo las funcionalidades legítimas de las plataformas empresariales pueden ser cooptadas para fines maliciosos, creando un vector de ataque que el sistema de seguridad tradicional no detectó fácilmente.
El Punto de Entrada: La Brecha en los Sistemas de Investigación
La Puerta Trasera: Compromiso de Servidores REDCap
El acceso inicial al ecosistema de investigación se logró a través de servidores REDCap (Research Electronic Data Capture), una plataforma utilizada por hospitales y universidades para gestionar bases de datos de estudios clínicos. UNC6508 comprometió externamente los servidores REDCap, estableciendo la base para la siguiente fase de la intrusión.
El Malware Interno: INFINITERED y la Escalada de Privilegios
Una vez dentro, el grupo desplegó un malware personalizado denominado INFINITERED. Este troyano no solo se instaló en los archivos del sistema de REDCap, sino que ejecutó varias funciones críticas para la persistencia y el movimiento lateral:
- Hijacking de Actualizaciones: Interceptó el proceso de actualización de REDCap para inyectar código malicioso en cada nueva versión, asegurando la persistencia.
- Recolección de Credenciales: Extrajo nombres de usuario y contraseñas de la página de inicio de sesión, almacenándolas cifradas en bases de datos locales.
- Backdoor HTTP: Actuó como una puerta trasera que recibía comandos a través de cookies HTTP en cada carga de página.
La Exfiltración Inusual: Abuso de Funciones Legítimas de Google
El aspecto más innovador y peligroso de esta campaña fue el método de exfiltración. En lugar de utilizar herramientas de malware obvias, UNC6508 explotó una característica nativa de Google Workspace: las reglas de cumplimiento de contenido. Esta técnica permitió la extracción de datos sin dejar rastro de tráfico anómalo en la red.
La Técnica de Reglas de Cumplimiento
Los atacantes configuraron reglas de contenido que escaneaban el correo electrónico en busca de palabras clave específicas. Al detectar mensajes que coincidían con estos términos, la regla instruía al sistema a copiar o reenviar silenciosamente esos correos a una dirección de Gmail controlada por el atacante. La regla utilizada contenía una lista de términos que mapeaban directamente las prioridades de la recopilación del grupo, incluyendo:
- Políticas geoestratégicas y estrategias militares.
- Tecnología avanzada, incluyendo IA y vehículos no tripulados.
- Programas cibernéticos ofensivos.
- Investigaciones médicas sensibles, como la mención específica de virus y brotes.
Implicaciones y la Novedad de la Amenaza
Este ataque no solo demostró la sofisticación de UNC6508, sino también la fragilidad de las defensas basadas en la confianza de las propias herramientas corporativas. El hecho de que se pudiera utilizar una función administrativa legítima de Google Workspace para la exfiltración de datos sensibles, sin necesidad de instalar malware adicional o generar tráfico de red sospechoso, es un precedente alarmante. La capacidad de abusar de reglas de contenido a nivel de dominio para lograr este objetivo es una técnica novedosa que debe ser catalogada como una amenaza de seguridad de nivel superior.
Análisis de la Competencia y Estrategia de Compra
Este incidente es un recordatorio brutal de que la seguridad no reside solo en la protección de los perímetros, sino en la confianza que depositamos en las herramientas que utilizamos a diario. El uso de funcionalidades nativas de plataformas como Google Workspace como vectores de ataque es una táctica de "ataque interno" que requiere una reevaluación inmediata de las políticas de seguridad. La capacidad de un actor estatal para explotar estas funcionalidades demuestra que la defensa debe evolucionar para monitorear no solo el tráfico de red, sino también las configuraciones y reglas internas de las aplicaciones empresariales.