Una campagna di spionaggio collegata alla Cina ha preso di mira i server REDCap esposti online per rubare dati sensibili a un istituto di ricerca medica nordamericano. A muoversi è stato un gruppo che gli analisti del Google Threat Intelligence Group hanno etichettato come UNC6508, e la cosa più inquietante è che è rimasto annidato nella rete della vittima per oltre un anno senza che nessuno se ne accorgesse.
REDCap, per chi non lo conoscesse, è una piattaforma molto diffusa nel mondo della ricerca scientifica e medica. Serve a costruire e gestire database e sondaggi che devono rispettare regole precise, quelle imposte dalla normativa su questo tipo di dati delicati. Insomma, parliamo di un sistema che custodisce informazioni preziose, ed è proprio questo che lo ha reso un bersaglio interessante.
Gli investigatori non sono riusciti a stabilire con certezza come sia avvenuta la prima intrusione. Hanno però notato che UNC6508 stava sondando versioni vecchie e vulnerabili della piattaforma. La compromissione dell’organizzazione di ricerca risale a settembre 2023 e l’attività dannosa è proseguita fino a novembre 2025, oltre un anno di presenza silenziosa.
Come funziona il malware InfiniteRed
Tre mesi dopo aver messo piede nel sistema, gli attaccanti hanno installato un malware su misura chiamato InfiniteRed, progettato apposta per i sistemi REDCap. Per nasconderlo hanno manipolato i file di sistema del server, rendendo i suoi componenti difficili da individuare. Il malware si divide in tre parti: un modulo che garantisce persistenza e aggiornamenti, uno strumento per raccogliere le credenziali e una backdoor.
Il raccoglitore di credenziali cattura nomi utente e password digitati nelle pagine di login di REDCap, poi li cifra e li conserva in tabelle del database locale, pronti per essere recuperati. La backdoor, invece, riceve comandi tramite i cookie HTTP e permette agli aggressori di fare praticamente di tutto: eseguire comandi shell, caricare e scaricare file dal server, lanciare query SQL arbitrarie, recuperare le credenziali rubate, cancellarne le tracce e ottenere informazioni sul sistema e sul database.
C’è poi una tecnica che ha colpito gli analisti, perché è una novità per i gruppi legati alla Cina. Dopo aver ottenuto l’accesso come amministratori, gli attaccanti hanno sfruttato una funzione legittima degli strumenti aziendali in cloud, quella delle regole di conformità dei contenuti, per portar fuori i dati via email. Hanno creato una regola chiamata “Patroit” che setaccia l’organizzazione cercando parole chiave, schemi di contenuto, indirizzi email e numeri di telefono.
Dati medici, tecnologia e temi militari nel mirino
Ogni corrispondenza trovata veniva spedita in copia nascosta a un indirizzo Gmail, ora disattivato da Google. Le parole chiave usate per la caccia riguardavano ricerca medica, tecnologie avanzate, temi militari e politiche geostrategiche. Un raggio d’azione ampio, che secondo gli analisti spazia dalla scoperta molecolare ai test clinici sui farmaci, fino alle politiche sanitarie a livello statale e alla prontezza militare.
Il livello di attenzione operativa è stato notevole. Gli attaccanti hanno usato proxy residenziali basati negli Stati Uniti, router compromessi, server virtuali privati, riutilizzo di credenziali e un’infrastruttura dedicata solo all’esfiltrazione dei dati. Google ha avvisato diverse organizzazioni negli Stati Uniti e in Canada colpite dal malware.
Agli amministratori di REDCap viene consigliato di aggiornare le proprie installazioni alle versioni più recenti e di eliminare quelle ormai obsolete. Google suggerisce anche di attivare l’autenticazione a più fattori sugli account con privilegi elevati e di usare le Device Bound Session Credentials per impedire il dirottamento delle sessioni. Nel report sono presenti regole YARA e indicatori di compromissione che aiutano a scansionare gli ambienti alla ricerca di infezioni da InfiniteRed.