Google maakte maandag bekend dat een hackergroep die volgens haar banden heeft met China gedurende meer dan een jaar in het geheim gegevens van meerdere wetenschappelijke onderzoeksinstellingen in de Verenigde Staten en Canada is binnengevallen en gestolen, waarbij het zich richt op universiteiten, medische en militaire onderzoekseenheden. De operatie duurde van september 2023 tot november 2025. Gedurende deze periode voerden hackers inlichtingendiefstalactiviteiten uit op het gebied van defensie-inlichtingen, militaire strategie in de Indo-Pacific-regio, kunstmatige intelligentie, onbemande systemen, cyberoorlogsprojecten en medisch-wetenschappelijk onderzoek.
Het dreigingsinformatieteam van Google verklaarde in zijn laatste rapport dat de namen van de aangevallen organisaties niet aan het publiek zijn vrijgegeven, maar dat de reikwijdte van het onderzoek van deze eenheden varieert van de ontdekking van geneesmiddelen en klinische proeven tot volksgezondheidsbeleid en militaire paraatheid, waarbij duizenden personeelsleden betrokken zijn en een gecombineerd wetenschappelijk onderzoeksbudget van miljarden dollars. Google schreef deze actie toe aan zijn interne hackergroep met nummer "UNC6508" en noemde het een relatief nieuwe maar weinig bekende cyberspionagegroep. De modus operandi komt in hoge mate overeen met de technieken en doelstellingen van hackactiviteiten die al jaren als ‘China-gerelateerd’ worden geclassificeerd, waarbij de nadruk ligt op inlichtingen- en onderzoeksresultaten waarvan wordt vermoed dat ze de interesse van de Chinese overheid wekken.
De Chinese ambassade in Washington reageerde niet onmiddellijk op een verzoek om commentaar. Peking heeft altijd ontkend dat het illegale hackactiviteiten uitvoert of goedkeurt, en wanneer soortgelijke beschuldigingen de kop opsteken, benadrukt het doorgaans dat het ook slachtoffer is van cyberaanvallen, waarbij het alle landen oproept om uitdagingen op het gebied van cyberveiligheid aan te pakken door middel van dialoog en samenwerking.
Uit het onderzoek van Google blijkt dat de vroegst bekende tekenen van activiteit in deze spionageoperatie dateren uit september 2023. Destijds maakten de aanvallers misbruik van een beveiligingsprobleem in de server waarop REDCap draait om de inbraak te lanceren. REDCap is een webapplicatie die veel wordt gebruikt in non-profitorganisaties en vaak wordt gebruikt voor het bouwen en beheren van online vragenlijsten en wetenschappelijke onderzoeksdatabases. De hackers gebruikten zelfgemaakte malware om legitieme REDCap-inloggegevens te stelen, sluipen het doelnetwerk binnen zonder regelmatige waarschuwingen te activeren en zetten vervolgens een geautomatiseerd systeem op om e-mails met specifieke trefwoorden en zoektermen door te sturen naar het Gmail-account dat ze beheerden om voortdurend gevoelige informatie te verzamelen.
Het rapport wees erop dat Google-onderzoekers ontdekten dat deze trefwoorden en zoektermen bijna 150 waren, inclusief de telefoonnummers en e-mailadressen van meerdere personeelsleden binnen de aangevallen organisatie, evenals professionele termen gerelateerd aan geostrategisch beleid, militaire strategie, geavanceerde technologie en medisch onderzoek. Via dit mechanisme konden hackers ruim een jaar lang een grote hoeveelheid e-mailcommunicatie screenen en exporteren die nauw verband hield met defensie, technologie en medische kwesties. REDCap reageerde niet op vragen over aanvallen en exploits.
Google zei dat het uiteindelijk een aantal organisaties in de Verenigde Staten en Canada heeft geïdentificeerd die zijn gehackt, en de relevante eenheden één voor één op de hoogte heeft gesteld om hen te helpen inbraakpaden te identificeren, misbruikte systeemkwetsbaarheden te blokkeren en vervolgbeschermingsmaatregelen te nemen. Hoewel de specifieke details van de slachtofferorganisatie en de verliezen nog niet zijn bekendgemaakt, wordt dit incident beschouwd als een zoveelste langdurige infiltratieoperatie gericht op hoogwaardig wetenschappelijk onderzoek en defensie-inlichtingen, wat de aanhoudende toename van de risico's van transnationale cyberspionage op academisch, medisch en militair gebied benadrukt.