As regras do Google Workspace se tornaram o elemento central de uma sofisticada campanha de espionagem cibernética atribuída ao grupo UNC6508, associado a interesses chineses. Em vez de depender apenas de malwares tradicionais ou de técnicas barulhentas de exfiltração de dados, os invasores exploraram recursos legítimos da plataforma do Google para monitorar comunicações sensíveis de forma silenciosa e persistente.
O caso chamou a atenção da comunidade de segurança porque combina diferentes camadas de ataque. Enquanto um malware especializado comprometia servidores expostos à internet, recursos nativos de produtividade eram utilizados para encaminhar informações estratégicas sem despertar alertas imediatos. O resultado foi uma operação direcionada a organizações dos setores de defesa, pesquisa médica, saúde pública e instituições acadêmicas da América do Norte.
Neste artigo, vamos analisar como o grupo operou, o papel do malware INFINITERED, a exploração de servidores REDCap e o abuso das regras de conformidade de conteúdo do Google Workspace, além das principais medidas de proteção para administradores de TI.
O vetor de entrada: O sequestro dos servidores REDCap
O ponto de partida da campanha foi a exploração de servidores REDCap vulneráveis.
O REDCap é uma plataforma amplamente utilizada por universidades, hospitais, centros de pesquisa e instituições governamentais para coleta e gerenciamento de dados clínicos e científicos. Por armazenar informações valiosas relacionadas à saúde, pesquisas biomédicas e estudos epidemiológicos, tornou-se um alvo extremamente atrativo para grupos de espionagem.
Os investigadores identificaram que os atacantes exploraram servidores expostos à internet que apresentavam falhas de segurança ou estavam operando versões vulneráveis da plataforma. Após obter acesso inicial, os criminosos implantaram ferramentas personalizadas para manter o controle dos sistemas comprometidos.
A escolha do alvo não foi aleatória. Muitas organizações utilizam o REDCap como parte de projetos financiados por governos, universidades e instituições ligadas à defesa nacional. Isso transforma essas plataformas em verdadeiros repositórios de inteligência estratégica.
O papel do malware INFINITERED
Uma vez dentro dos servidores, os invasores instalaram o malware INFINITERED, uma ferramenta desenvolvida especificamente para ampliar a permanência dos atacantes nos ambientes comprometidos.
O malware possuía três capacidades principais.
A primeira era a persistência durante atualizações do sistema. Mesmo quando administradores realizavam processos de atualização do software, o código malicioso conseguia permanecer ativo, reduzindo significativamente as chances de remoção acidental.
A segunda capacidade envolvia o roubo de credenciais armazenadas de forma criptografada. O objetivo era coletar informações que permitissem movimentação lateral e acesso a outros serviços corporativos.
A terceira função era atuar como um backdoor baseado em cookies HTTP. Esse mecanismo permitia que operadores remotos enviassem comandos para os servidores comprometidos utilizando tráfego aparentemente legítimo, dificultando a detecção por ferramentas tradicionais de monitoramento.
O uso do INFINITERED demonstra uma característica comum em campanhas de espionagem avançadas: o foco não está apenas em invadir um sistema, mas em permanecer invisível pelo maior tempo possível.
Como as regras do Google Workspace foram abusadas
O aspecto mais inovador da operação apareceu após a obtenção de acesso às contas corporativas.
Em vez de utilizar canais externos de exfiltração que poderiam ser bloqueados por firewalls ou sistemas de prevenção contra vazamento de dados, o grupo explorou as próprias regras do Google Workspace para coletar informações.
Essa abordagem se encaixa no conceito conhecido como Living off the Land (LotL). A técnica consiste em utilizar ferramentas legítimas já presentes no ambiente da vítima para executar atividades maliciosas.
Quando isso ocorre, muitas soluções de segurança têm dificuldade para diferenciar ações normais de comportamentos suspeitos.
Regras de conformidade do Google Workspace como arma de espionagem
Segundo a investigação, os operadores criaram uma regra de conformidade identificada como “Patroit”, aproveitando recursos nativos do ambiente administrativo.
As regras de conformidade de conteúdo permitem que administradores criem políticas automáticas para análise e tratamento de mensagens corporativas. Em condições normais, esses recursos são utilizados para atender requisitos regulatórios, políticas internas e necessidades de auditoria.
No entanto, quando um invasor obtém privilégios suficientes, a mesma funcionalidade pode ser transformada em um mecanismo de vigilância altamente eficiente.
A regra criada pelos atacantes monitorava mensagens contendo palavras-chave específicas associadas aos interesses da campanha.
Entre os termos observados estavam referências relacionadas a inteligência artificial, defesa, projetos governamentais, pesquisas biomédicas e até mesmo doenças como chikungunya.
Sempre que uma mensagem atendia aos critérios definidos, uma cópia era enviada silenciosamente para endereços controlados pelos operadores da campanha.
O uso de cópia oculta para exfiltração silenciosa
O método utilizado explorava a funcionalidade de cópia oculta (CCO).
Na prática, o usuário continuava enviando e recebendo mensagens normalmente, sem qualquer indicação visível de que uma cópia adicional estava sendo encaminhada para terceiros.
Do ponto de vista da infraestrutura de rede, o tráfego permanecia legítimo porque estava sendo processado pelos próprios serviços do Google.
Esse detalhe torna o ataque especialmente perigoso.
Muitas organizações concentram esforços na detecção de malwares, conexões suspeitas e transferências externas de arquivos. Porém, quando a exfiltração ocorre por meio de recursos autorizados da própria plataforma, os sinais de alerta podem passar despercebidos durante meses.
Por isso, a auditoria constante das regras do Google Workspace se tornou uma necessidade crítica para ambientes corporativos modernos.
Como se proteger: Lições e checklist para administradores de TI
A campanha do UNC6508 oferece importantes ensinamentos para equipes responsáveis pela segurança de ambientes corporativos.
A principal lição é que ferramentas legítimas precisam receber o mesmo nível de monitoramento aplicado a softwares maliciosos.
Corrija e atualize ambientes REDCap
Organizações que utilizam REDCap devem manter todas as instâncias atualizadas.
Também é importante verificar mecanismos de proteção contra ataques de downgrade, prática utilizada para forçar a execução de versões vulneráveis de softwares.
Além disso, servidores expostos diretamente à internet devem passar por avaliações regulares de segurança.
Audite regularmente as regras do Google Workspace
Administradores devem revisar periodicamente todas as regras de conformidade do Google Workspace.
Mudanças inesperadas em políticas de encaminhamento, filtros de conteúdo ou mecanismos automáticos de cópia de mensagens precisam ser investigadas imediatamente.
A auditoria de logs administrativos pode revelar alterações suspeitas realizadas por contas comprometidas.
Implemente MFA resistente a phishing
A autenticação multifator continua sendo uma das defesas mais eficazes.
Entretanto, métodos tradicionais baseados apenas em códigos temporários podem ser vulneráveis a ataques modernos de phishing.
Sempre que possível, organizações devem adotar tecnologias resistentes a phishing, como chaves de segurança compatíveis com padrões modernos de autenticação.
Monitore atividades administrativas
A criação de novas regras, alterações em políticas de e-mail e concessão de privilégios administrativos devem gerar alertas automáticos.
Quanto menor for o tempo entre a atividade suspeita e sua identificação, menor será o impacto potencial do incidente.
Adote o princípio do menor privilégio
Usuários e administradores devem possuir apenas os acessos estritamente necessários para executar suas funções.
Essa prática reduz significativamente a superfície de ataque disponível para invasores que obtenham credenciais válidas.
Conclusão: O novo desafio da segurança em nuvem
A campanha atribuída ao UNC6508 demonstra como a espionagem digital está evoluindo rapidamente. O uso combinado do malware INFINITERED, da exploração de servidores REDCap e do abuso das regras de conformidade de conteúdo mostra que os invasores estão cada vez mais interessados em utilizar ferramentas legítimas para permanecer invisíveis.
O maior aprendizado desse incidente é que a segurança moderna não pode se limitar à detecção de malware. Recursos nativos de plataformas em nuvem, especialmente aqueles com funções administrativas avançadas, precisam ser auditados continuamente.
Em um cenário onde a exfiltração de dados pode ocorrer através de funcionalidades autorizadas, a visibilidade operacional se torna tão importante quanto os mecanismos tradicionais de proteção.
