SecBoard
HochBranchenlageScore: 20/100

China-nahe Spionagegruppe UNC6508 stahl über ein Jahr Forschungs- und Verteidigungs-E-Mails via Google Workspace

29. Juni 2026
China-nahe Spionagegruppe UNC6508 stahl über ein Jahr Forschungs- und Verteidigungs-E-Mails via Google Workspace

Kurzfazit

Eine China-verknüpfte Spionagegruppe (von Google als UNC6508 verfolgt) hielt sich laut Bericht über ein Jahr in nordamerikanischen Medizin-, Forschungs- und Militärnetzen auf und stahl sensible Forschungs- und Verteidigungs-E-Mails. Der Zugang gelang u. a. über den Missbrauch von Google-Workspace-Regeln sowie exponierte REDCap-Server, auf denen die Malware InfiniteRed ausgebracht wurde.

Was ist passiert?

Eine China-verknüpfte Spionagegruppe, die Googles Threat Intelligence Group seit Anfang 2025 als UNC6508 verfolgt, hat sich laut Bericht über mehr als ein Jahr unbemerkt in nordamerikanischen Medizin-, Akademie- und Militärforschungsnetzen aufgehalten und sensible Forschungs- und Verteidigungs-E-Mails gestohlen. Ein zentraler Baustein war der Missbrauch von Google-Workspace-Regeln (z. B. zur stillen Weiterleitung/Filterung von E-Mails). Zusätzlich wurden exponierte REDCap-Server angegriffen, um die Malware InfiniteRed auszubringen und Daten einer medizinischen Einrichtung zu entwenden.

Warum ist das relevant?

Die Operation kombiniert langfristige, leise Persistenz mit dem Missbrauch legitimer Funktionen (Workspace-Regeln) — ein Muster, das klassische Malware-Detektion unterläuft. Der Diebstahl von Forschungs- und Verteidigungsdaten hat strategische Tragweite; die lange Verweildauer von über einem Jahr zeigt, wie schwer solche Spionagezugänge zu entdecken sind.

Betroffene Branchen und Technologien

Im Fokus stehen Gesundheits-/Medizinforschung, akademische Einrichtungen und militärnahe Forschung in Nordamerika. Technologisch betroffen sind Google Workspace (E-Mail-Regeln) und exponierte Forschungsplattformen wie REDCap.

Priorisierungssignale

  • Staatsnahe Spionage (UNC6508, China-verknüpft)
  • Verweildauer > 1 Jahr (schwer detektierbar)
  • Missbrauch legitimer Workspace-Regeln
  • Gezielte hochsensible Daten (Forschung/Verteidigung)

Defensive Empfehlungen

  • Google-Workspace-Mailregeln (Weiterleitungen, Filter, Delegationen) auf unautorisierte oder verdeckte Einträge prüfen und Auditierung aktivieren.
  • Exponierte Forschungsplattformen (z. B. REDCap) inventarisieren, patchen und vom offenen Internet abschirmen.
  • Auf Indikatoren der Malware InfiniteRed und auf langfristige Persistenz/anomale E-Mail-Zugriffe hunten.
  • Zugriff auf sensible Forschungs-/Verteidigungsdaten mit , Least-Privilege und verstärktem Monitoring absichern.

Quellenhinweise

Grundlage sind übereinstimmende Berichte von The Hacker News, SecurityWeek (Google Threat Intelligence Group, Tracking als UNC6508) und BleepingComputer (REDCap/InfiniteRed).

Was Security-Teams jetzt prüfen sollten

  • 1Google-Workspace-Mailregeln (Weiterleitungen, Filter, Delegationen) auf unautorisierte/verdeckte Einträge prüfen und Auditierung aktivieren.
  • 2Exponierte Forschungsplattformen (z. B. REDCap) inventarisieren, patchen und vom offenen Internet abschirmen.
  • 3Auf InfiniteRed-Indikatoren und langfristige Persistenz/anomale E-Mail-Zugriffe hunten.
  • 4Zugriff auf sensible Forschungs-/Verteidigungsdaten mit MFA und Least-Privilege absichern.
  • 5Mail-Audit-Logs rückwirkend (mehrere Monate) auf verdeckte Exfiltration prüfen.

Betroffene Branchen

healthcare

Transparenz & Redaktion

  • Analyse: SecBoard Research
  • Redaktionell verantwortlich: Eike Fellgiebel
  • KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
  • Stand: 29. Juni 2026
Wie SecBoard arbeitet: Methodik & Quellen
#UNC6508#China#Cyberspionage#Google Workspace#REDCap#InfiniteRed#Healthcare