China-nahe Spionagegruppe UNC6508 stahl über ein Jahr Forschungs- und Verteidigungs-E-Mails via Google Workspace

Kurzfazit
Eine China-verknüpfte Spionagegruppe (von Google als UNC6508 verfolgt) hielt sich laut Bericht über ein Jahr in nordamerikanischen Medizin-, Forschungs- und Militärnetzen auf und stahl sensible Forschungs- und Verteidigungs-E-Mails. Der Zugang gelang u. a. über den Missbrauch von Google-Workspace-Regeln sowie exponierte REDCap-Server, auf denen die Malware InfiniteRed ausgebracht wurde.
Was ist passiert?
Eine China-verknüpfte Spionagegruppe, die Googles Threat Intelligence Group seit Anfang 2025 als UNC6508 verfolgt, hat sich laut Bericht über mehr als ein Jahr unbemerkt in nordamerikanischen Medizin-, Akademie- und Militärforschungsnetzen aufgehalten und sensible Forschungs- und Verteidigungs-E-Mails gestohlen. Ein zentraler Baustein war der Missbrauch von Google-Workspace-Regeln (z. B. zur stillen Weiterleitung/Filterung von E-Mails). Zusätzlich wurden exponierte REDCap-Server angegriffen, um die Malware InfiniteRed auszubringen und Daten einer medizinischen Einrichtung zu entwenden.
Warum ist das relevant?
Die Operation kombiniert langfristige, leise Persistenz mit dem Missbrauch legitimer Funktionen (Workspace-Regeln) — ein Muster, das klassische Malware-Detektion unterläuft. Der Diebstahl von Forschungs- und Verteidigungsdaten hat strategische Tragweite; die lange Verweildauer von über einem Jahr zeigt, wie schwer solche Spionagezugänge zu entdecken sind.
Betroffene Branchen und Technologien
Im Fokus stehen Gesundheits-/Medizinforschung, akademische Einrichtungen und militärnahe Forschung in Nordamerika. Technologisch betroffen sind Google Workspace (E-Mail-Regeln) und exponierte Forschungsplattformen wie REDCap.
Priorisierungssignale
- Staatsnahe Spionage (UNC6508, China-verknüpft)
- Verweildauer > 1 Jahr (schwer detektierbar)
- Missbrauch legitimer Workspace-Regeln
- Gezielte hochsensible Daten (Forschung/Verteidigung)
Defensive Empfehlungen
- Google-Workspace-Mailregeln (Weiterleitungen, Filter, Delegationen) auf unautorisierte oder verdeckte Einträge prüfen und Auditierung aktivieren.
- Exponierte Forschungsplattformen (z. B. REDCap) inventarisieren, patchen und vom offenen Internet abschirmen.
- Auf Indikatoren der Malware InfiniteRed und auf langfristige Persistenz/anomale E-Mail-Zugriffe hunten.
- Zugriff auf sensible Forschungs-/Verteidigungsdaten mit MFA, Least-Privilege und verstärktem Monitoring absichern.
Quellenhinweise
Grundlage sind übereinstimmende Berichte von The Hacker News, SecurityWeek (Google Threat Intelligence Group, Tracking als UNC6508) und BleepingComputer (REDCap/InfiniteRed).
Was Security-Teams jetzt prüfen sollten
- 1Google-Workspace-Mailregeln (Weiterleitungen, Filter, Delegationen) auf unautorisierte/verdeckte Einträge prüfen und Auditierung aktivieren.
- 2Exponierte Forschungsplattformen (z. B. REDCap) inventarisieren, patchen und vom offenen Internet abschirmen.
- 3Auf InfiniteRed-Indikatoren und langfristige Persistenz/anomale E-Mail-Zugriffe hunten.
- 4Zugriff auf sensible Forschungs-/Verteidigungsdaten mit MFA und Least-Privilege absichern.
- 5Mail-Audit-Logs rückwirkend (mehrere Monate) auf verdeckte Exfiltration prüfen.
Betroffene Branchen
Quellenhinweise
Transparenz & Redaktion
- Analyse: SecBoard Research
- Redaktionell verantwortlich: Eike Fellgiebel
- KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
- Stand: 29. Juni 2026