【中国系UNC6508、北米の医療・軍事研究機関を長期標的化】 Google Threat Intelligence Groupは、PRC系と高確度推定されるUNC6508が、北米の医療・学術・軍事研究コミュニティを標的にした長期キャンペーンを報告しました。REDCapサーバの侵害、INFINITERED、Google Workspaceのコンプライアンスルール悪用により、防衛情報、AI、無人機、サイバー、医療研究に関わる情報が狙われました。 重要なのは、攻撃が単純なマルウェア感染ではなく、正規アプリとメール管理機能を利用した低可視性の情報収集だった点です。研究機関・医療機関・防衛関連組織は、REDCap、IdP、メール転送ルール、管理者操作ログを優先監査すべきです。 日本の研究機関や防衛・医療関連組織も、共同研究・国際連携経由で同様の標的化を受ける可能性があります。 #サイバーセキュリティ #中国APT #UNC6508 #医療セキュリティ #防衛研究 #GoogleWorkspace #ThreatIntelligence cloud.google.com/blog/topics…

The group, tracked by Google as UNC6508, got in through backdoored REDCap servers, the research platform hospitals and universities use for study databases. Custom malware called INFINITERED harvested credentials and survived every software upgrade by reinjecting itself.

→OSS導入時の検証プロセスと依存管理を強化する必要 ■脅威トレンド 中国系がREDCap悪用し研究機関侵入 中国関連UNC6508が米加の研究データ管理基盤REDCapの旧版脆弱性を悪用し1年超にわたり研究情報を窃取するスパイ活動を継続。 (3/5)

＞Googleは初期侵入経路を突き止めておらず、具体的なCVEも挙げず、影響を受けたバージョンも特定していない ＞GoogleはUNC6508がどうやって最初にREDCapサーバーに到達したのか、いまだに分かっていない Mandiantがいるあのチームを以てしてもまだ解明できていない。こっちの方が怖いな 【経路】 初期→不明 横展開→解明 （侵入後Google Workspaceの正規機能を悪用したメール窃取を行う） 【具体的手口】 侵入後、マルウェア「INFINITERED」を仕込んで認証情報を盗む。横展開し、ドメイン管理者権限を取得。管理者権限を使って、Google Workspaceへ、メール窃取 不思議なのはREDCapのデータベースが最終目的じゃなんですね。メールが最終目的になっている。金目的ならデータベースにまず食いつくんですが

Do you need to get data from REDCap or Qualtrics? Are you tired of logging in to REDCap and/or Qualtrics to download your data so you can import into Stata? If so join me for “Automated Data Acquisition” this Thursday at Burnet Institute to learn this powerful technique. sdas.au/go/260618BX

This week Google researchers identified a campaign targeting research institutions through Internet-facing REDCap servers. Censys ARC analyzed global exposure and found 8,500 REDCap instances. More: bit.ly/4vTjLf8 #CensysARC

⚠️ PRC-Linked Hackers Target REDCap Servers cybersecuritynews.com/prc-ne… UNC6508, a China-linked hacking group, spent more than a year inside North American medical, academic, and military research environments. Exposed REDCap servers were the entry point. Once in, UNC6508 deployed INFINITERED, a malware built to blend into REDCap files, harvest credentials, survive upgrades, and run commands through web requests. The group later abused Google Workspace silently BCC-forward sensitive emails tied to military, AI, cyber, and medical research topics. #ThreatIntelligence #REDCap #UNC6508 #CyberSecurity

PRC-nexus actor UNC6508 targeted North American research, exploiting REDCap servers to deploy INFINITERED malware. The actor remained undetected for over a year and abused enterprise admin tools for covert data exfil. Analysis, guidance and IOCs ➔ cloud.google.com/blog/topics…

中国政府系とされるスパイ集団が、北米の医療・軍事研究機関のネットワークに1年以上気づかれず潜伏し、Gmailの受信箱をのぞき見て機微なデータを盗み出していたとする報告が公開されています。侵入の入り口は、大学や病院が臨床研究データの収集に使うREDCapという外部公開サーバーで、そこへ「INFINITERED」という専用マルウェアを仕込む手口。これは正規のREDCapを書き換えた版で、ソフト更新の過程に割り込んで次のバージョンへ自身のコードを注ぎ込み、認証情報を盗む機能を認証処理に埋め込む、再帰的な作りとされます。奪った管理者権限で、組織のメール基盤に「特定のキーワードや宛先に一致したメールを攻撃者のGmailへこっそり転送する」正規のコンプライアンスルールを仕込み、データを吸い上げていたとの内容。 【要点の整理】 ・GoogleがUNC6508として追う集団による。最初の侵入は2023年9月で、北米の医療研究機関のREDCapサーバーが標的。検知されたのは2025年初頭で、1年以上潜伏していた ・INFINITEREDは3つの部品から成る。更新処理に割り込んで新バージョンの中核ファイルへコードを注入し永続化する部品、認証システムのファイルに認証情報の収集機能を仕込む部品、ページが読み込まれるたびに動くバックドアの部品 ・2025年8月に盗んだ正規の管理者認証情報で内部に入り、テナントのコンプライアンスルールを悪用。150個の正規表現で定義した検索語や宛先のいずれかが本文・件名に現れたメールを、攻撃者の管理するアドレスへBCCで転送させる設定で、米国の安全保障・軍事・外交・医療研究に関するメールが継続的に流れ出ていた。検索語の約3分の1が軍事システムや防衛関連で、特に無人機システムと対無人機システムが目立つ ・転送ルールの名前は「Patroit」（Patriotの綴り間違い）。転送先はBebitaBarefoot774[@]gmail[.]comで、Googleはこのアカウントを無効化して追加の持ち出しを止めた ・収集対象には防衛関連だけでなく、蚊が媒介するウイルス感染症「チクングニア熱」のような具体的な医療テーマも含まれていた。2025年7月に中国広東省で流行した病名で、防衛とは異質な検索語が一つの収集リストに同居している点が観測者の関心を引いている 詳細は以下を参照： cloud.google.com/blog/topics… theregister.com/research/202…

I’m all about that redcap

FBI disrupted an AI-powered phishing service with 1M URLs, while attackers abused Microsoft 365 Copilot, a PAN-OS VPN flaw, and hit REDCap, Infinite Campus, and Novo Nordisk. #FBI #Microsoft365Copilot #MENA ift.tt/aUGJrgS

Google says a China linked hacking group quietly targeted U.S. and Canadian research institutions for more than a year. This is not a normal cyber story. It is a research espionage story. Google Threat Intelligence Group says the campaign was carried out by UNC6508, a PRC-nexus threat actor targeting North American academic, medical, and military research communities. The reported target list is extremely sensitive: • Defense intelligence • Indo Pacific military strategy • Artificial intelligence • Uncrewed vehicle systems • Cyber offensive programs • Medical research • Drug discovery and clinical trials • Military readiness That is the real headline. This was not just about stealing emails. It was about quietly collecting research sitting at the intersection of national security, medicine, AI, and future warfare. Google says UNC6508 exploited externally facing REDCap servers, deployed custom malware called INFINITERED, captured legitimate credentials, moved into internal systems, and abused enterprise admin tools for covert data exfiltration. Reuters reports the group then set up automatic forwarding for emails matching nearly 150 keywords and search terms, sending matching messages to a Gmail account the attackers controlled. That is the part that should make every research institution pay attention. The attackers did not just smash and grab. They allegedly used legitimate tools and rules to quietly siphon information. Google says affected organizations included clinical providers, academic centers, military health institutions, advocacy groups, and health regulatory bodies. The victims were not publicly named. Important caution: attribution in cyber cases is always complex. Google describes UNC6508 as PRC-nexus. Reuters says Beijing regularly denies carrying out or condoning illicit hacking. But the strategic target set is clear. Medical research. AI. Drones. Cyber warfare. Indo-Pacific military strategy. This is the kind of cyber campaign that shows why universities, hospitals, research labs, and military health institutions are now national-security targets. Question: Are America’s research institutions prepared for nation-state cyber espionage — or are they still being treated like ordinary IT networks? #Cybersecurity #China #Google #UNC6508 #CyberEspionage #AI #Drones #NationalSecurity #MedicalResearch #InfoSec Sources: Google Threat Intelligence Group — UNC6508 campaign report: cloud.google.com/blog/topics… Reuters — Chinese-linked hackers targeted U.S. and Canadian research facilities: reuters.com/legal/litigation… The Hacker News — Google Workspace rules abused for email theft: thehackernews.com/2026/06/ch…

Want to get more out of REDCap? Join Dr. Mujeeb Basit and learn how to: 🔹 Design automated invites 🔹 Use advanced REDCap tools 🔹 Integrate with Epic 📅 June 30 at NOON (Virtual) 👉 forms.office.com/r/m5nue3ipB…

Google avertizează că grupul chinez UNC6508 a exploatat servere REDCap pentru a accesa conturi Workspace - atacatorii au folosit reguli de conformitate pentru a redirecționa e-mailuri și a exfiltra date din… dlvr.it/TT4HkN #securitatecibernetica #atacinformat #UNC6508