Пока компания Google расширяет Workspace за счет более глубокой интеграции Gemini и предоставляет искусственному интеллекту доступ к Gmail, Календарю, Чату и Google Диску, важность безопасности корпоративных аккаунтов только возрастает. Именно на этом фоне Google сообщила о масштабной кампании по краже информации, которую осуществляла группировка UNC6508, связанная с правительством Китая. Об этом Google сообщила в своём отчёте.

Google Threat Intelligence Group (GTIG) опубликовала новый отчет, в котором подробно описала недавнюю деятельность UNC6508 — связанной с Китайской Народной Республикой группировки, которая, вероятно, смогла использовать внешне доступные серверы Research Electronic Data Capture (REDCap), чтобы развернуть специально созданное вредоносное ПО под названием INFINITERED.

По данным Группы анализа угроз Google, хакеры более года оставались незамеченными в сетях североамериканских академических, медицинских и военных исследовательских организаций. С помощью этого вредоносного программного обеспечения они похищали учетные данные для входа, что позволяло им получать доступ к содержимому серверов и оставаться незамеченными более года.

После этого они перемещались по сети и выводили конфиденциальные данные, используя новый метод манипулирования правилами соответствия контента домену. Google отмечает, что правила соответствия контента являются «легитимной функцией, присутствующей во многих облачных корпоративных пакетах для повышения производительности».

Используя учетные записи администраторов, злоумышленники создавали специальные правила для обработки электронных писем, содержащих определенные наборы слов, фраз и текстовых шаблонов. Они назвали правило «Patroit» и настроили его так, чтобы определенные электронные письма пересылались в виде скрытой копии на Gmail-адреса, контролируемые хакерами.

С тех пор Google заблокировала Gmail-аккаунты, связанные с этой группировкой и этой кампанией. В блоге исследователи привели довольно обширный перечень мер, которые администраторам следует принять, чтобы защититься от UNC6508 и подобных группировок.

Среди них — обязательное использование устойчивой к фишингу двухфакторной аутентификации, подключение наиболее уязвимых аккаунтов к программе Advanced Protection Program, а также применение Device Bound Session Credentials с CAA для особо важных аккаунтов, чтобы предотвратить кражу файлов cookie.

Кампания была направлена против различных государственных и частных медицинских организаций. Среди этих организаций — всемирно известные клинические учреждения, ведущие академические центры, военно-медицинские учреждения Северной Америки, профессиональные правозащитные группы и регулирующие органы в сфере здравоохранения.

Их направления исследований охватывают широкий спектр современной медицины — от молекулярных открытий и клинических испытаний лекарств до политики общественного здравоохранения на уровне штатов и военной готовности. В этих организациях работают тысячи людей, а их совокупный исследовательский бюджет составляет миллиарды долларов.

[see_also ids="679427"]

Напомним, что кампания UNC6508 против Workspace развернулась на фоне активного расширения ИИ-возможностей Google в корпоративных сервисах. В июле 2025 года Google открыла пользователям Workspace доступ к Gems в документах, таблицах и Gmail — персонализированным версиям Gemini AI, которые работают как мини-агенты или специализированные помощники. Пользователи могут самостоятельно создавать таких помощников или выбирать готовые шаблоны, настраивая стиль общения, инструкции по поведению и задачи. Шаблонные Gems уже предназначены для редактирования текста, написания кода, генерации идей для продаж и других рабочих сценариев.