谷歌威胁情报小组(GTIG)于6月15日发布报告,披露一个与中国存在关联的威胁行为者 UNC6508 自2023年9月起至少持续活动至2025年11月,在长达两年多的时间内悄无声息入侵美国和加拿大的医疗、学术及军事研究机构,在受害者网络中潜伏逾一年而未被察觉。攻击者借助研究机构广泛使用的临床数据管理平台 REDCap(可能针对存在漏洞的旧版本),部署名为 InfiniteRed 的定制恶意软件盗取合法凭证,并采用新型技术隐蔽外泄数据。GTIG 高级安全工程师帕特里克·惠策尔(Patrick Whitsell)指出,其窃取目标覆盖面"极为广泛",涵盖医学研究、美国国防战略以及自主无人机与无人车辆等先进技术领域——有别于通常聚焦单一目标的定向间谍行动。
被攻击机构涵盖知名临床医疗中心、顶尖学术机构、北美军队医疗卫生单位、专业倡导团体及卫生监管机构,合计雇员数以千计、研究预算总额高达数十亿美元。窃取目标包括国家安全情报、印太战区指挥行动、人工智能、无人系统、网络攻防项目及医学研究(含奇昆古尼亚病毒相关研究)。谷歌表示未将此次行动明确归咎于中国政府,但认为证据指向中华人民共和国。GTIG 联合旗下子公司 Mandiant Consulting 已捣毁该组织的恶意基础设施,逐一通知受害机构,并将相关威胁情报同步至谷歌安全运营(SecOps)平台,协助防御方识别入侵指标。