Die Google Threat Intelligence Group (GTIG) veröffentlichte am 15. Juni einen Bericht, in dem sie einen mit China in Verbindung stehenden Bedrohungsakteur namens UNC6508 enthüllte. Dieser war von September 2023 mindestens bis November 2025 aktiv und drang über einen Zeitraum von mehr als zwei Jahren unbemerkt in medizinische, akademische und militärische Forschungseinrichtungen in den USA und Kanada ein, wobei er über ein Jahr lang in den Netzwerken der Opfer verborgen blieb. Die Angreifer nutzten die in Forschungseinrichtungen weit verbreitete klinische Datenmanagement-Plattform REDCap (möglicherweise anfällige ältere Versionen) aus, setzten eine maßgeschneiderte Schadsoftware namens InfiniteRed ein, um legitime Anmeldedaten zu stehlen, und verwendeten neuartige Techniken, um Daten unbemerkt abzuleiten. Patrick Whitsell, Senior Security Engineer bei GTIG, wies darauf hin, dass die Diebstahlziele »äußerst breit gefächert« seien – von medizinischer Forschung über die US-Verteidigungsstrategie bis hin zu fortschrittlichen Technologien wie autonomen Drohnen und unbemannten Fahrzeugen – und sich damit von typischen, auf ein einzelnes Ziel fokussierten Spionageaktionen unterschieden.
Die angegriffenen Einrichtungen umfassen bekannte klinische Zentren, Spitzenuniversitäten, militärmedizinische Einheiten in Nordamerika, professionelle Interessenvertretungen sowie Gesundheitsaufsichtsbehörden, mit insgesamt Tausenden von Beschäftigten und Forschungsetats in Milliardenhöhe. Zu den gestohlenen Daten gehörten Informationen zur nationalen Sicherheit, zum Indopazifik-Kommando, zu Künstlicher Intelligenz, unbemannten Systemen, Cyberangriffs- und -verteidigungsprojekten sowie medizinische Forschung (einschließlich Studien zum Chikungunya-Virus). Google gab an, die Operation nicht eindeutig der chinesischen Regierung zuzuschreiben, sieht die Beweise aber als Hinweis auf die Volksrepublik China. Die GTIG hat gemeinsam mit ihrer Tochtergesellschaft Mandiant Consulting die bösartige Infrastruktur der Gruppe zerstört, die betroffenen Einrichtungen einzeln benachrichtigt und die entsprechenden Bedrohungsinformationen in die Google Security Operations (SecOps)-Plattform eingespeist, um Verteidigern bei der Identifizierung von Kompromittierungsindikatoren zu helfen.