Хакери са се възползвали от широко използвано приложение за клинични изследвания и са насочили атаките си към институции в областта на военното дело, изкуствения интелект и медицинските изследвания
Според нов доклад на Google, свързана с Пекин група за кибершпионаж е прекарала повече от година в проникване в изследователски институции из Северна Америка, преди да бъде разкрита.
В доклад, публикуван на 15 юни, Google Threat Intelligence Group съобщи, че хакерската кампания, провела се от септември 2023 г. до ноември 2025 г., е била насочена предимно към академични, медицински и военни изследователски организации в САЩ и Канада.
Според доклада нападателите са търсили информация в широк диапазон – от медицински изследвания и разузнавателни данни в областта на отбраната до военна стратегия в Индо-Тихоокеанския регион, изкуствен интелект, безпилотни превозни средства и кибервойна.
Хакерската група, която Google проследява под името UNC6508, се смята за активна поне от 2023 г. Експертите по киберсигурност на компанията започнаха да я наблюдават в началото на 2025 г. и я споменаха в доклад, публикуван през февруари същата година.
Екипът на Google не разкри самоличността на засегнатите институции, но ги описа като „разнообразна съвкупност от национални, щатски и частни медицински организации“, които заедно наемат хиляди служители и управляват изследователски бюджети на стойност милиарди долари. Компанията заяви, че е неутрализирала инфраструктурата на нападателите и е уведомила всяка от установените жертви.
„Тези организации включват световноизвестни клинични доставчици, водещи академични центрове, военни здравни институции в Северна Америка, професионални сдружения и регулаторни органи в областта на здравеопазването“, пише Google Threat Intelligence Group. „Изследователската им дейност обхваща широк спектър от съвременната медицина – от молекулярни открития и клинични изпитвания на лекарства до здравна политика на регионално ниво и военна готовност.“
Според групата най-ранната известна активност, свързана с кампанията, датира от септември 2023 г., когато нападателите са компрометирали сървъри, работещи с REDCap – широко използвана уеб платформа за управление на бази данни и проучвания в областта на клиничните изследвания.
Google Threat Intelligence Group заяви, че все още не е установено точно как хакерите са получили първоначален достъп до сървърите на REDCap, но наличните данни сочат, че са се насочили към организации, използващи уязвими остарели версии на приложението.
При едно от проникванията, разследвани от групата, хакерите са използвали специално разработен зловреден софтуер, наречен InfiniteRed, който е събирал легитимни данни за достъп до REDCap и е осигурявал вход в целевите мрежи. След като са се промъкнали вътре, хакерите са създали автоматизирана система, която препраща имейли, съдържащи някои от близо 150 предварително зададени ключови думи, към Gmail акаунт под техен контрол.
Според доклада приоритетите на групата при извличането на информация изглежда са „в съответствие със стратегическите интереси“ на китайския режим.
Макар повечето търсени термини да са свързани с отбраната, геополитиката и нововъзникващите технологии, изследователите от Google отбелязват, че един от тях – „чикунгуня“ – се откроява на фона на останалите.
Чикунгуня е вирусно заболяване, пренасяно от комари. То е в центъра на епидемия в южнокитайската провинция Гуандун, избухнала през юли 2025 г.
През август 2025 г. китайските здравни власти въведоха серия от ограничителни мерки, подобни на прилаганите по време на COVID-19, след като обявиха шест провинции за зони с висок риск от разпространение на болестта. По същото време американските Центрове за контрол и превенция на заболяванията издадоха предупреждение за пътуване до засегнатите части на Китай. То впоследствие беше отменено.
Google не посочи причина, поради която групата е проявила интерес към информация, свързана с чикунгуня.
