كشفت مجموعة التجسس المرتبطة بالصين والمعروفة باسم UNC6508 عن أسلوب جديد للتسلل إلى شبكات بحثية وطبية وأكاديمية وعسكرية في أميركا الشمالية، حيث مكثت داخل هذه الشبكات أكثر من عام كامل، مستغلة خوادم REDCap الخاصة بالدراسات الطبية والبحثية. الهدف كان سرقة رسائل البريد الإلكتروني الحساسة المتعلقة بالأبحاث والدفاع.
بوابة الدخول عبر REDCap
الاختراق بدأ من خوادم REDCap المكشوفة على الإنترنت، وهي منصة تُستخدم على نطاق واسع في المستشفيات والجامعات لإدارة قواعد بيانات الدراسات. بعد ثلاثة أشهر من التسلل، نشر المهاجمون برمجية خبيثة أطلق عليها فريق Google Threat Intelligence Group اسم INFINITERED، والتي قامت بـ:
- إعادة حقن الكود الخبيث مع كل تحديث جديد للمنصة.
- سرقة أسماء المستخدمين وكلمات المرور وتخزينها في قاعدة البيانات.
- العمل كباب خلفي يستقبل أوامر عبر ملفات تعريف الارتباط (cookies).
هذا مكّن المجموعة من التوسع داخل الشبكات الداخلية والوصول إلى حسابات إدارية حساسة.
استغلال قواعد Google Workspace
الجزء الأكثر ابتكارًا كان في طريقة إخراج البيانات. بدلًا من استخدام أدوات خارجية أو برمجيات خبيثة إضافية، استغل المهاجمون ميزة شرعية في Google Workspace تُعرف بـ قواعد الامتثال للمحتوى. هذه القواعد تسمح بمسح الرسائل بحثًا عن كلمات مفتاحية وإعادة توجيهها. أنشأ المهاجمون قاعدة تحمل خطأً إملائيًا في كلمة “Patroit”، تضمنت نحو 150 كلمة مفتاحية مرتبطة بالسياسة الجيوستراتيجية، التكنولوجيا المتقدمة، البرامج السيبرانية الهجومية، والأبحاث الطبية. أي رسالة تطابق هذه الكلمات كانت تُنسخ تلقائيًا إلى بريد Gmail يسيطر عليه المهاجمون.
بهذا الأسلوب لم يكن هناك أي حركة مرور غير اعتيادية أو أدوات خارجية، بل مجرد استغلال لميزة مدمجة في النظام.
دلالات وأهداف
الكلمات المفتاحية التي استخدمها المهاجمون كشفت عن أولوياتهم: الاستراتيجيات العسكرية، المركبات غير المأهولة، الذكاء الاصطناعي، البرامج السيبرانية الهجومية، وحتى أبحاث طبية مثل فيروس شيكونغونيا الذي تسبب في تفشٍ في الصين عام 2025. هذا يعكس مزيجًا من الاهتمامات الدفاعية والعلمية التي تسعى بكين للحصول عليها عبر التجسس الإلكتروني.
توصيات للحماية
- تحديث خوادم REDCap وإزالة الإصدارات القديمة لتفادي هجمات downgrade.
- مراجعة قواعد الامتثال وإعادة التوجيه في Google Workspace أو أي خدمة بريدية مشابهة، مع التدقيق في سجلات التغييرات الإدارية.
- البحث عن مؤشرات البرمجية الخبيثة INFINITERED داخل الشبكات.
- فرض استخدام المصادقة متعددة العوامل المقاومة للتصيّد على حسابات المدراء، إذ أن خطوة سرقة البريد اعتمدت على وصول إداري كامل.
هذا الهجوم يوضح أن المهاجمين لا يحتاجون دائمًا إلى أدوات معقدة لإخراج البيانات؛ أحيانًا تكفي ميزة شرعية داخل النظام لتتحول إلى قناة تجسس فعّالة.
