O Grupo de Inteligência de Ameaças do Google (GTIG) divulgou um relatório em 15 de junho, revelando que um agente de ameaças associado à China, UNC6508, esteve ativo pelo menos de setembro de 2023 a novembro de 2025. Durante mais de dois anos, o grupo invadiu silenciosamente instituições de pesquisa médica, acadêmica e militar nos Estados Unidos e Canadá, permanecendo sem ser detectado nas redes das vítimas por mais de um ano. Os invasores usaram a plataforma de gerenciamento de dados clínicos REDCap (provavelmente mirando versões antigas com vulnerabilidades), amplamente utilizada por instituições de pesquisa, para implantar um malware personalizado chamado InfiniteRed, roubando credenciais legítimas e utilizando novas técnicas para exfiltrar dados de forma oculta. O engenheiro sênior de segurança do GTIG, Patrick Whitsell, apontou que os alvos dos roubos eram “extremamente amplos”, abrangendo desde pesquisa médica até estratégias de defesa dos EUA e tecnologias avançadas como drones autônomos e veículos não tripulados — diferentemente de operações de espionagem direcionada que geralmente focam em um único alvo.
As instituições atacadas incluem centros clínicos renomados, instituições acadêmicas de ponta, unidades militares de saúde da América do Norte, grupos de defesa especializados e agências reguladoras de saúde, totalizando milhares de funcionários e orçamentos de pesquisa na casa das dezenas de bilhões de dólares. Os alvos dos roubos incluíam inteligência de segurança nacional, estratégia do teatro do Indo-Pacífico, inteligência artificial, sistemas não tripulados, projetos de ciberataque e defesa, e pesquisa médica (incluindo estudos sobre o vírus chikungunya). O Google afirmou que não atribuiu claramente a operação ao governo chinês, mas acredita que as evidências apontam para a República Popular da China. O GTIG, em conjunto com sua subsidiária Mandiant Consulting, desmantelou a infraestrutura maliciosa do grupo, notificou individualmente as instituições vítimas e sincronizou as informações de ameaças relevantes na plataforma Google Security Operations (SecOps), ajudando os defensores a identificar indicadores de invasão.