Los cazadores de amenazas de Google detectaron otro grupo de espionaje patrocinado por el estado chino que durante años se había infiltrado en sistemas pertenecientes a organizaciones gubernamentales y privadas para robar datos en el ámbito académico, médico, militar, de ciberseguridad y de política exterior.

Google Threat Intelligence Group descubrió el grupo de amenazas previamente desconocido UNC6508que apuntó a organizaciones en Estados Unidos y Canadá, a finales de 2025, pero su primer compromiso conocido se remonta a septiembre de 2023.

La revelación refleja un patrón alarmante de grupos de espionaje chinos que abren puertas traseras en infraestructura crítica para posicionarse previamente para posibles sabotajes, interceptar investigaciones y robar datos con implicaciones para la seguridad nacional. Estos grupos que trabajaban a instancias del gobierno de China, incluido el UNC6508, operaron en secreto durante años antes de que las autoridades o los investigadores descubrieran su actividad.

«No conocemos el alcance total o el impacto de la campaña», dijo a CyberScoop Patrick Whitsell, ingeniero senior de seguridad de GTIG. Los investigadores dijeron que el grupo de amenazas irrumpió en una universidad de investigación médica en septiembre de 2023, robó credenciales y comunicaciones y permaneció activo en los sistemas de la institución hasta noviembre de 2025, cuando fue descubierto.

Google dijo que confirmó que había múltiples víctimas comprometidas con INFINITERED, una puerta trasera personalizada que el grupo de amenazas implementó en redes específicas para robar credenciales administrativas después de explotar servidores REDCap (Research Electronic Data Capture) externos.

Los investigadores aún no saben cómo UNC6508 obtuvo acceso inicial a los servidores REDCap. Google dijo que el software de encuestas y bases de datos, que se creó en la Universidad de Vanderbilt y emitió múltiples parches para vulnerabilidades críticas de ejecución remota de código a lo largo de 2023, se utiliza ampliamente en la comunidad de investigación médica.

«Dada la amplitud de los criterios de recopilación de inteligencia del actor de amenazas y su capacidad para permanecer sin ser detectados dentro de las redes comprometidas durante más de un año, evaluamos que las víctimas conocidas probablemente representen sólo una fracción de una campaña más grande», dijo Whitsell. «También evaluamos que este actor de amenazas altamente capaz permanecerá activo y seguirá siendo una amenaza para las industrias de defensa, tecnología y medicina en el futuro previsible».

Google dijo que la campaña estaba dirigida a proveedores clínicos, centros médicos académicos e instituciones de salud militares de EE. UU., demostrando capacidades avanzadas de un grupo de amenazas que actualmente no se superpone con ningún otro grupo conocido públicamente.

El grupo de amenazas abusó de las reglas de cumplimiento de dominio para robar datos, una técnica que no se basa en malware o herramientas de supervivencia, y enruta el tráfico a través de IP con sede en EE. UU. para mezclarse con el tráfico legítimo, dijeron los investigadores.

«Tenemos alguna evidencia que sugiere que se trata de un gran grupo de amenazas con múltiples subequipos, pero esto no está confirmado», dijo Whitsell.

Al igual que otros grupos de espionaje patrocinados por el Estado de China previamente identificados, UNC6508 permanece activo.

Google dijo que interrumpió parte de la infraestructura conocida de UNC6508 al deshabilitar una cuenta de Gmail que usaba para filtrar datos, notificó a las organizaciones afectadas y ayudó a remediar los compromisos antes de publicar una investigación sobre las actividades de UNC6508.

Whitsell dijo que varios casos de compromiso no confirmados siguen bajo investigación.