Chinese Hackers Abused Google Workspace Rules to Steal Research and Defense Emails

1 minute de lecture

Mis à jour : June 16, 2026

Espionnage via REDCap et détournement des règles Google Workspace

Le groupe de cyberespionnage UNC6508, lié à la Chine, a infiltré pendant plus d’un an des réseaux académiques, médicaux et militaires en Amérique du Nord. L’attaque a permis l’exfiltration massive de données sensibles, notamment sur la stratégie militaire, l’IA et la recherche médicale, en exploitant les fonctionnalités natives des infrastructures ciblées.

Points clés :

Vecteur d’entrée : Compromission de serveurs REDCap (Research Electronic Data Capture) exposés sur Internet.
Malware INFINITERED : Un logiciel malveillant personnalisé qui infecte les fichiers système de REDCap, capture les identifiants de connexion et crée une porte dérobée persistante résistante aux mises à jour.
Exfiltration furtive : Une fois les privilèges d’administrateur obtenus, les attaquants ont détourné les règles de « conformité de contenu » (content compliance rules) de Google Workspace pour copier automatiquement et discrètement les emails contenant des mots-clés spécifiques vers un compte externe.
Portée : Les cibles incluaient des institutions de santé, des centres de recherche, des organismes militaires et des régulateurs de santé.

Vulnérabilités :

Aucune CVE spécifique n’a été publiée à ce jour. L’attaque repose sur l’exploitation de versions obsolètes de REDCap laissées actives sur les serveurs, facilitant des attaques par rétrogradation (downgrade attacks).

Recommandations :

Sécurisation REDCap : Supprimer les anciennes versions de REDCap plutôt que de les maintenir côte à côte avec les versions actuelles, et maintenir les serveurs exposés à jour.
Audit des configurations mail : Vérifier régulièrement les règles de transfert, de routage et de conformité de contenu dans Google Workspace (ou solutions équivalentes) pour détecter tout transfert anormal vers des domaines externes.
Surveillance administrative : Analyser les journaux d’audit (Audit Logs) pour identifier toute modification suspecte des règles de messagerie.
Renforcement des accès : Implémenter une authentification multifacteur (MFA) résistante au phishing pour tous les comptes disposant de privilèges d’administration.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Chinese Hackers Abused Google Workspace Rules to Steal Research and Defense Emails

Espionnage via REDCap et détournement des règles Google Workspace

Partager sur

Vous pourriez aimer

Windows version of SprySOCKS Linux malware used to attack govt orgs

Expansion de SprySOCKS : Le groupe Earth Lusca cible Windows

UK to require ID or face scan before you can make social media accounts

Vers une interdiction des réseaux sociaux pour les moins de 16 ans au Royaume-Uni

Survey: 94% of Incidents Involve Anonymized Infrastructure. Teams Are Still Reactive

L’hégémonie des infrastructures anonymisées : passer de la réaction à la décision

Steam Workshop abused to spread malware via Wallpaper Engine app

Abus du Steam Workshop pour la diffusion de malwares via Wallpaper Engine