Điệp viên Trung Quốc ẩn mình trong mạng y tế và quân sự hơn một năm để đánh cắp dữ liệu qua Gmail

Google Threat Intelligence Group (GTIG) vừa đưa ra báo cáo chi tiết về một chiến dịch gián điệp mạng kéo dài, trong đó các tác nhân liên quan đến chính phủ Trung Quốc (PRC) đã ẩn nấp trong mạng lưới của nhiều tổ chức y tế và quân sự tại Bắc Mỹ hơn một năm.

Được Google theo dõi dưới mã danh UNC6508, nhóm này đã triển khai phần mềm độc hại tùy chỉnh và sử dụng các kỹ thuật tinh vi để rình mò các hộp thư Gmail, đánh cắp dữ liệu nhạy cảm. Điều đáng chú ý là những kẻ xâm nhập đã sử dụng một danh sách các thuật ngữ tìm kiếm rất cụ thể để lọc thông tin tình báo, bao gồm các chủ đề hẹp như công nghệ máy bay không người lái (drone) và các tác nhân gây bệnh truyền nhiễm.

Luke McNamara, phó giám đốc phân tích tại Google Threat Intelligence Group, nhận định rằng đây là một trong những "danh sách mục tiêu" thú vị nhất mà ông từng thấy từ một tác nhân nhà nước. Các thuật ngữ tìm kiếm không chỉ bao gồm hoạt động quốc phòng mà còn mở rộng sang các nghiên cứu y tế cụ thể như bệnh Chikungunya - một bệnh do virus lây truyền từ muỗi sang người từng gây bùng phát dịch tại tỉnh Quảng Đông, Trung Quốc vào tháng 7 năm 2025.

Khai thác lỗ hổng trên máy chủ REDCap

Theo điều tra, chiến dịch này bắt đầu ít nhất từ tháng 9 năm 2023. Điểm mấu chốt giúp nhóm gián điệp thâm nhập là việc khai thác các máy chủ REDCap (Research Electronic Data Capture) tiếp xúc với bên ngoài. REDCap là một nền tảng web phổ biến được các trường đại học, bệnh viện và viện nghiên cứu sử dụng để xây dựng và quản lý cơ sở dữ liệu khảo sát, cũng như lưu trữ dữ liệu nghiên cứu lâm sàng nhạy cảm.

Vụ xâm nhập đầu tiên được biết đến diễn ra vào tháng 9 năm 2023, khi UNC6508 chiếm quyền kiểm soát một máy chủ REDCap thuộc về một tổ chức nghiên cứu y tế Bắc Mỹ. Sau khi xâm nhập thành công, nhóm này đã âm thầm ẩn mình trong ba tháng trước khi triển khai phần mềm độc hại có tên InfiniteRed.

Mã độc InfiniteRed được thiết kế mô-đun với ba thành phần chính:

• Duy trì quyền truy cập từ xa bằng cách chèn mã độc vào các phiên bản REDCap mới trong quá trình nâng cấp phần mềm.
• Thu thập thông tin đăng nhập hợp pháp bằng cách tiêm trình thu thập vào tệp hệ thống xác thực.
• Hoạt động như một cửa sau (backdoor) với các hook tùy chỉnh thực thi mã mỗi khi trang REDCap được tải.

Lợi dụng quy tắc Gmail để đánh cắp dữ liệu

Sau khi thu thập được thông tin đăng nhập của tài khoản quản trị, UNC6508 sử dụng chúng để truy cập vào mạng nội bộ của nạn nhân và thiết lập các quy tắc tuân thủ nội dung (content compliance rules) trên Google Workspace.

Đây là một tính năng hợp pháp trong các bộ công cụ năng suất doanh nghiệp dựa trên đám mây, cho phép quản trị viên quản lý các tin nhắn chứa các từ khóa hoặc cụm từ được xác định trước. Tuy nhiên, nhóm gián điệp đã lợi dụng tính năng này để exfiltrate (rút ruột) dữ liệu.

UNC6508 đã tạo một quy tắc tên là "Patroit" (chính tả sai của từ "Patriot") để khớp các từ khóa và mẫu địa chỉ email trong các thư gửi và nhận. Những email này sau đó được tự động chuyển tiếp bí mật (BCC) đến một địa chỉ Gmail do kẻ tấn công kiểm soát là [email protected].

Qua phương thức này, một luồng dữ liệu liên tục về chính sách địa chiến lược, chiến lược quân sự, công nghệ tiên tiến và nghiên cứu y tế đã được chuyển đến nhóm gián điệp. Google đã nhanh chóng vô hiệu hóa tài khoản Gmail này để ngăn chặn việc rò rỉ dữ liệu thêm nữa.

Hiện tại, lý do tại sao nhóm này lại tìm kiếm các thuật ngữ quân sự trong các tổ chức y tế vẫn đang được điều tra. Một giả thuyết cho rằng nhóm này đang tung một "mạng lưới bắt cá rộng" (casting a very wide net) hoặc các tổ chức y tế mục tiêu có thể đang thực hiện các dự án nghiên cứu liên kết với các cơ quan quân sự hoặc chính phủ.