Google脅威情報グループ(GTIG)は6月15日、中国に関連するとみられる脅威アクター「UNC6508」が少なくとも2023年9月から2025年11月まで活動を継続し、2年以上にわたって米国とカナダの医療機関、学術機関、軍事研究機関に静かに侵入、被害者のネットワーク内で1年以上も潜伏し続けていたことを報告した。攻撃者は研究機関で広く使用されている臨床データ管理プラットフォームREDCap(脆弱性のある旧バージョンを標的にした可能性あり)を介して、カスタム作成されたマルウェア「InfiniteRed」を展開し、正当な認証情報を窃取、新たな手法を用いてデータを密かに外部に持ち出した。GTIGの上級セキュリティエンジニア、パトリック・ウィットセル氏は、その窃取対象が「非常に広範囲」に及び、医学研究、米国の国防戦略、自律型無人機・無人車両などの先端技術分野を網羅していると指摘。これは、通常は単一の標的に焦点を絞る標的型スパイ活動とは一線を画すものだ。
攻撃を受けた機関には、著名な臨床医療センター、トップクラスの学術機関、北米軍の医療部門、専門家団体、医療規制当局などが含まれ、従業員数は数千人、研究予算は総額で数百億ドルに上る。窃取された標的には、国家安全保障情報、インド太平洋地域の戦略、人工知能、無人システム、サイバー攻防プロジェクト、そして(チクングニアウイルス関連研究を含む)医学研究などが含まれている。Googleは今回の活動を明確に中国政府のせいにはしていないが、証拠は中華人民共和国を示していると述べている。GTIGは傘下のMandiant Consultingと連携し、この組織の悪意あるインフラを破壊、被害を受けた各機関に個別に通知し、関連する脅威インテリジェンスをGoogle Security Operationsプラットフォームと共有、防御側が侵入の兆候を特定できるよう支援している。