{"id":1201,"date":"2026-06-15T21:45:04","date_gmt":"2026-06-15T21:45:04","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/15\/los-piratas-informaticos-chinos-abusaron-de-las-reglas-de-google-workspace-para-robar-correos-electronicos-de-investigacion-y-defensa\/"},"modified":"2026-06-15T21:45:04","modified_gmt":"2026-06-15T21:45:04","slug":"los-piratas-informaticos-chinos-abusaron-de-las-reglas-de-google-workspace-para-robar-correos-electronicos-de-investigacion-y-defensa","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/15\/los-piratas-informaticos-chinos-abusaron-de-las-reglas-de-google-workspace-para-robar-correos-electronicos-de-investigacion-y-defensa\/","title":{"rendered":"Los piratas inform\u00e1ticos chinos abusaron de las reglas de Google Workspace para robar correos electr\u00f3nicos de investigaci\u00f3n y defensa"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Un grupo de espionaje vinculado a China se ocult\u00f3 dentro de las redes de investigaci\u00f3n m\u00e9dica, acad\u00e9mica y militar de Am\u00e9rica del Norte durante m\u00e1s de un a\u00f1o, robando silenciosamente correos electr\u00f3nicos confidenciales de investigaci\u00f3n y defensa.<\/p>\n<p>La entrada era una puerta trasera en su <b>Mozo de estaci\u00f3n <\/b>Servidores de investigaci\u00f3n que robaron credenciales de inicio de sesi\u00f3n. La exfiltraci\u00f3n fue la parte inusual: los atacantes reconfiguraron las propias reglas de Google Workspace de las v\u00edctimas para copiar cualquier mensaje que coincidiera con sus palabras clave a una bandeja de entrada que controlaban.<\/p>\n<p>El Threat Intelligence Group (GTIG) de Google present\u00f3 la campa\u00f1a en un <a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/prc-targets-us-medical-research\" target=\"_blank\">informe<\/a> publicado esta semana y lo atribuye con alto nivel de confianza a un grupo que rastrea como UNC6508.<\/p>\n<p>El actor y su puerta trasera REDCap no son nombres nuevos; Google sac\u00f3 a la luz ambas cosas por primera vez en febrero, en un informe m\u00e1s amplio sobre ataques respaldados por el Estado contra el sector de defensa. No nombr\u00f3 a las v\u00edctimas, sino que las describi\u00f3 \u00fanicamente como m\u00faltiples organizaciones en Estados Unidos y Canad\u00e1: proveedores cl\u00ednicos, centros acad\u00e9micos, instituciones de salud militares, grupos de defensa y reguladores de salud.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-cant-stop-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjPEV6-530TOlxG6PjrmdlY623wpBwduZ7t1HV6flcmO5R4q4AmfixDUzW0CrhlvMVNWbhvOIso-UDNTka4W_W9Chrdj_dglwBZwi7DuePM2IMIl-hfUYVIqBXgfpr_2619K8Gptb4LzwJ6gUbi7lWl2M8AFQJsHEaw63Q7tZ6708YGruiHrr0Y2W9YYxLQ\/s728-e100\/ThreatLocker-d.png\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Google dice que les notific\u00f3 e interrumpi\u00f3 la infraestructura del grupo.<\/p>\n<h2>\u00bfC\u00f3mo entraron?<\/h2>\n<p>El punto de entrada fue <a href=\"https:\/\/www.project-redcap.org\/\">Mozo de estaci\u00f3n<\/a> (Research Electronic Data Capture), una plataforma web que utilizan hospitales y universidades para crear y gestionar bases de datos de estudios. UNC6508 comprometi\u00f3 servidores REDCap externos.<\/p>\n<p>Google no ha precisado el vector de acceso inicial, no ha nombrado un CVE espec\u00edfico ni ha enumerado las versiones afectadas, aunque vio que el grupo investigaba las versiones m\u00e1s antiguas y vulnerables.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEglqcg8G8FFD1MT7qT3NoWswq3ciVr7Ah8YmpeFcflN4rTZ-uIQ_57r80-3b0o2fgp6gQFJjb_UoXwlO01I_mObxm8xgTJzOZJpx9En8Ydh3LihdhKq37wkgoNCDAdxUujwenoRXAvyWvMV0RebUQeAcL9QrcvIyxmn2t7n1f7j4D_y41YZ8gI7btZ2PqQ\/s1700-e365\/INFINITERED1.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEglqcg8G8FFD1MT7qT3NoWswq3ciVr7Ah8YmpeFcflN4rTZ-uIQ_57r80-3b0o2fgp6gQFJjb_UoXwlO01I_mObxm8xgTJzOZJpx9En8Ydh3LihdhKq37wkgoNCDAdxUujwenoRXAvyWvMV0RebUQeAcL9QrcvIyxmn2t7n1f7j4D_y41YZ8gI7btZ2PqQ\/s1700-e365\/INFINITERED1.png\" alt=\"\" border=\"0\" data-original-height=\"1759\" data-original-width=\"2200\"\/><\/a><\/div>\n<p>Aproximadamente tres meses despu\u00e9s de ingresar, el grupo implement\u00f3 llamadas GTIG de malware personalizadas. <b>INFINITERADO<\/b>que troyaniza los propios archivos del sistema de REDCap y hace tres cosas.<\/p>\n<ul>\n<li>Primero, secuestra el proceso de actualizaci\u00f3n para que cada nueva versi\u00f3n de REDCap reinyecte el c\u00f3digo en lugar de borrarlo.<\/li>\n<li>En segundo lugar, recopila nombres de usuario y contrase\u00f1as de la p\u00e1gina de inicio de sesi\u00f3n y los almacena, cifrados, en tablas de bases de datos locales.<\/li>\n<li>En tercer lugar, act\u00faa como una puerta trasera, recibiendo comandos a trav\u00e9s de cookies HTTP y ejecut\u00e1ndose en cada carga de p\u00e1gina.<\/li>\n<\/ul>\n<p>El primer compromiso conocido data de septiembre de 2023, y la actividad continu\u00f3 hasta noviembre de 2025. Una vez en el servidor, UNC6508 ejecut\u00f3 reconocimiento interno y descubrimiento de credenciales, extrayendo las credenciales de la base de datos y de la cuenta de servicio, luego us\u00f3 esos inicios de sesi\u00f3n para pasar a la red interna y a una cuenta de administrador de dominio.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjR_ozU4SXXSrDzvJ7UTv16s_C2jdp1ECN5KGkN-QHt8-fa5Shn0LPn1w8qSao_Tm1KKzaguPDqoSdKQtqCzyUfa9bKN6SrGogJQ6LYjWR81ze31LG8lJaXzZDuCGszVD5uswVFtKxWSJ6mp3pFoSxAgwINaPR9R4jYfX48tmFvVgOdvZ2mEf6ibrQn03Y\/s1700-e365\/INFINITERED2.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjR_ozU4SXXSrDzvJ7UTv16s_C2jdp1ECN5KGkN-QHt8-fa5Shn0LPn1w8qSao_Tm1KKzaguPDqoSdKQtqCzyUfa9bKN6SrGogJQ6LYjWR81ze31LG8lJaXzZDuCGszVD5uswVFtKxWSJ6mp3pFoSxAgwINaPR9R4jYfX48tmFvVgOdvZ2mEf6ibrQn03Y\/s1700-e365\/INFINITERED2.png\" alt=\"\" border=\"0\" data-original-height=\"1759\" data-original-width=\"2200\"\/><\/a><\/div>\n<p>Google no explica la ruta exacta a esa cuenta de administrador. Con derechos de administrador, el grupo configur\u00f3 la exfiltraci\u00f3n.<\/p>\n<h2>C\u00f3mo robaron el correo electr\u00f3nico<\/h2>\n<p>La exfiltraci\u00f3n se bas\u00f3 en una caracter\u00edstica que ya estaba all\u00ed. UNC6508 abus\u00f3 de las reglas de cumplimiento de contenido, una funci\u00f3n de administraci\u00f3n leg\u00edtima de Google Workspace que escanea el correo en busca de palabras clave y puede copiar o reenviar mensajes coincidentes.<\/p>\n<p>Existen caracter\u00edsticas similares en otras suites de correo en la nube. El grupo cre\u00f3 una regla, mal escrita \u00abPatroit\u00bb, que analizaba casi 150 palabras clave, t\u00e9rminos de b\u00fasqueda y direcciones de correo electr\u00f3nico. Cuando un mensaje coincid\u00eda, Workspace lo enviaba silenciosamente a una direcci\u00f3n de Gmail controlada por un atacante, que desde entonces Google ha desactivado. Sin malware en el servidor de correo, sin herramienta de exfiltraci\u00f3n independiente, sin tr\u00e1fico de red inusual. Solo una funci\u00f3n de correo incorporada, destinada a copiar los secretos de la organizaci\u00f3n a una bandeja de entrada de propiedad de los atacantes.<\/p>\n<p>MITRE ya cataloga <a href=\"https:\/\/attack.mitre.org\/techniques\/T1114\/003\/\">Abuso de reglas de reenv\u00edo de correo electr\u00f3nico<\/a> como t\u00e9cnica conocida. Lo que GTIG se\u00f1ala como nuevo aqu\u00ed es el uso de reglas de cumplimiento de contenido de dominio para hacerlo, un m\u00e9todo que, seg\u00fan dice, no hab\u00eda visto antes en un actor vinculado a China.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/vpn-threat-report-m\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhFlTC7RrRZGiFAgASS0noWSL0qsQGFVp8-Hvuw9yp3X3VKRuTcb5SsPX09wJzrdIM6pu1_5lS4EeZp7Sx4iYBpNJkrGnpr08yyaS1HQ5_5TxaCsP6O0OtHNuOkesn6CbNjao1GPulCJk-uljYMSfMZfBYNrngpe669t7jlRn1FqiEnXhsFD1WVkpaYIVgh\/s728-e100\/ai-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Las palabras clave de la regla se corresponden con las prioridades de recopilaci\u00f3n de UNC6508: pol\u00edtica geoestrat\u00e9gica, estrategia y equipo militar, tecnolog\u00eda avanzada que incluye inteligencia artificial y veh\u00edculos no tripulados, programas cibern\u00e9ticos ofensivos e investigaci\u00f3n m\u00e9dica. Un t\u00e9rmino destac\u00f3 por su especificidad, <b>chikungu\u00f1a<\/b>el virus transmitido por mosquitos detr\u00e1s de un brote en 2025 en la provincia china de Guangdong.<\/p>\n<h2>que hacer<\/h2>\n<p>Comience con REDCap. Parchee los servidores externos y elimine las versiones antiguas directamente, no solo junto con la versi\u00f3n actual. REDCap permite que las versiones heredadas se ejecuten en paralelo, y eso es lo que permite los ataques de degradaci\u00f3n, donde un atacante fuerza al software a volver a una versi\u00f3n vulnerable conocida.<\/p>\n<p>Luego revisa el lado del correo. Revise las reglas de cumplimiento de contenido y reenv\u00edo de correo de Workspace, o su equivalente, para detectar cualquier cosa que haga CCO o redirija el correo a direcciones externas. Consulte los registros de auditor\u00eda del administrador para saber cu\u00e1ndo cambiaron las reglas, no solo lo que dicen ahora. Extraiga los indicadores publicados de GTIG y busque INFINITERED. Y coloque MFA resistente al phishing en las cuentas de administrador, ya que todo el paso del robo de correo depend\u00eda del acceso del administrador.<\/p>\n<p>Google todav\u00eda no sabe c\u00f3mo lleg\u00f3 UNC6508 por primera vez a los servidores REDCap. La parte que vale la pena observar es la regla del correo. Una vez que los atacantes obtienen acceso de administrador, una funci\u00f3n incorporada en la nube puede convertirse silenciosamente en una ruta de exfiltraci\u00f3n, y eso es lo que los defensores deben auditar, no solo la puerta trasera de REDCap.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Un grupo de espionaje vinculado a China se ocult\u00f3 dentro de las redes de investigaci\u00f3n m\u00e9dica, acad\u00e9mica y militar de Am\u00e9rica del Norte durante m\u00e1s de un a\u00f1o, robando silenciosamente correos electr\u00f3nicos confidenciales de investigaci\u00f3n y defensa. La entrada era una puerta trasera en su Mozo de estaci\u00f3n Servidores de investigaci\u00f3n que robaron credenciales de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[3131,159,1484,2091,1485,256,540,2145,95,52,36,539,1328,703,659],"class_list":["post-1201","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-abusaron","tag-chinos","tag-correos","tag-defensa","tag-electronicos","tag-google","tag-informaticos","tag-investigacion","tag-las","tag-los","tag-para","tag-piratas","tag-reglas","tag-robar","tag-workspace"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1201","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1201"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1201\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1201"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1201"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1201"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}