Campagne d'espionnage UNC6508 visant la recherche médicale et de défense (lié à la RPC)

Le 15 juin 2026, le Threat Intelligence Group de Google (GTIG) — la branche de recherche sur les menaces de Google — a révélé une campagne de cyberespionnage pluriannuelle menée par UNC6508, un cluster de menace qu'il attribue avec un haut degré de confiance aux intérêts du renseignement d'État de la République populaire de Chine (RPC). La campagne s'est discrètement infiltrée dans un ensemble varié d'organisations de recherche médicale, universitaire et de santé militaire aux États-Unis et au Canada — prestataires cliniques, grands centres médicaux universitaires, institutions de santé militaire nord-américaines, groupes de défense professionnels et organismes de réglementation de la santé — et est restée indétectée pendant plus d'un an.

Le GTIG situe la première compromission connue en septembre 2023, l'activité malveillante se poursuivant de manière constante jusqu'en novembre 2025. L'orientation stratégique de la campagne couvrait à la fois la recherche de défense et de sécurité nationale (opérations du commandement Indo-Pacifique, systèmes de véhicules sans pilote, IA et programmes de cyberoffensive) et la recherche médicale (essais cliniques de médicaments, découverte moléculaire et travaux sur le pathogène Chikungunya lié à une épidémie de 2025 dans la province chinoise du Guangdong).

Déroulement de l'intrusion

UNC6508 a systématiquement ciblé les serveurs REDCap — une plateforme web largement utilisée par les universités et les hôpitaux pour créer et gérer des bases de données et des enquêtes de recherche, en conformité avec les réglementations de la recherche médicale. L'acteur a exploité des versions héritées vulnérables de REDCap pour prendre pied, puis a installé un web shell help.php pour assurer la persistance et le téléversement de fichiers.

Environ trois mois après l'accès initial — une approche délibérément patiente et discrète — UNC6508 a déployé un implant modulaire sur mesure baptisé INFINITERED par le GTIG. Ses trois composants assuraient (1) le dépôt et l'interception des mises à jour logicielles de REDCap afin que le maliciel persiste lors des mises à jour, (2) la collecte d'identifiants, chiffrés avec la routine propre à l'environnement et dissimulés dans une table locale de la base de sessions REDCap, et (3) une porte dérobée avec commande et contrôle prenant en charge des commandes shell arbitraires, des requêtes SQL et le téléversement/téléchargement de fichiers.

Une exfiltration « living-off-the-cloud »

La technique la plus remarquable de la campagne est intervenue après plus de douze mois de patience : UNC6508 a utilisé les identifiants dérobés pour atteindre un compte administrateur Google Workspace, puis a détourné une fonctionnalité de sécurité légitime de la messagerie — les règles de conformité de contenu — à des fins d'exfiltration discrète de données. L'acteur a créé une règle de conformité (mal orthographiée « Patroit ») utilisant des expressions régulières pour repérer des mots-clés et des modèles d'adresses e-mail, puis transférait silencieusement en copie cachée (BCC) les messages correspondants vers une adresse Gmail contrôlée par l'attaquant. Google a désactivé le compte dès sa découverte.

Pour rester indétecté, UNC6508 acheminait ses opérations via des réseaux d'obfuscation — un mélange de routeurs compromis (dont un routeur ASUS compromis), de proxys résidentiels et d'infrastructures VPS — en s'appuyant exclusivement sur des adresses IP de sortie basées aux États-Unis pour les connexions sortantes.

Pourquoi c'est important

Cette campagne est un cas d'école de collecte patiente, parrainée par un État, ciblant la base de recherche plutôt que d'un vol de données rapide. Elle souligne trois leçons récurrentes : que les logiciels de recherche hérités exposés sur Internet, comme REDCap non corrigé, demeurent un vecteur d'accès initial attrayant ; que le détournement de fonctionnalités cloud légitimes (règles de conformité Workspace, mécanismes de mise à jour) permet aux attaquants de se fondre dans l'administration normale et d'échapper à la détection pendant des années ; et que les environnements de recherche médicale et universitaire, souvent sous-dotés en sécurité mais riches en propriété intellectuelle proche de la défense, sont clairement dans le viseur des acteurs étatiques. Le GTIG a exhorté les secteurs touchés à imposer la validation en deux étapes sur les comptes administrateurs, à corriger et supprimer les anciennes versions de REDCap, et à auditer les règles de conformité Workspace à la recherche de modifications non autorisées.