Nguyễn Tiến Đạt
Intern Writer
Nhóm gián điệp mạng có liên hệ với Trung Quốc, được Google theo dõi dưới mã UNC6508, đã âm thầm xâm nhập các tổ chức nghiên cứu y tế, học thuật và quân sự tại Mỹ và Canada trong hơn một năm để thu thập dữ liệu nhạy cảm.
Theo Nhóm Tình báo Mối đe dọa của Google (GTIG), điểm xâm nhập ban đầu là các máy chủ REDCap hướng Internet. Sau khi xâm nhập, tin tặc triển khai mã độc INFINITERED nhằm duy trì quyền truy cập, đánh cắp thông tin đăng nhập và cài đặt cửa hậu điều khiển từ xa. Hoạt động của nhóm được ghi nhận từ tháng 9/2023 đến tháng 11/2025.
Điểm đáng chú ý nhất của chiến dịch nằm ở giai đoạn đánh cắp dữ liệu. Thay vì sử dụng công cụ exfiltration chuyên dụng, UNC6508 đã lạm dụng tính năng Content Compliance của Google Workspace. Với quyền quản trị, nhóm này tạo một quy tắc có tên "Patroit" để theo dõi gần 150 từ khóa, địa chỉ email và chủ đề liên quan đến quốc phòng, AI, công nghệ không người lái, an ninh mạng và nghiên cứu y tế.
Mỗi khi email khớp với các tiêu chí trên, Google Workspace sẽ tự động gửi một bản sao BCC đến tài khoản Gmail do tin tặc kiểm soát. Phương thức này không yêu cầu malware trên hệ thống thư điện tử và gần như không tạo ra lưu lượng bất thường, khiến việc phát hiện trở nên khó khăn hơn.
Google cho biết đây là lần đầu tiên họ quan sát thấy một nhóm tin tặc liên hệ với Trung Quốc sử dụng các quy tắc tuân thủ nội dung cấp miền để đánh cắp email ở quy mô lớn. Các từ khóa được thu thập phản ánh rõ mục tiêu tình báo của chiến dịch, từ công nghệ quân sự, trí tuệ nhân tạo đến nghiên cứu y sinh.
Google đã thông báo cho các nạn nhân và vô hiệu hóa cơ sở hạ tầng được sử dụng trong chiến dịch. Công ty khuyến nghị các tổ chức sử dụng REDCap cần vá lỗi hệ thống, loại bỏ các phiên bản cũ và rà soát toàn bộ quy tắc chuyển tiếp, BCC cũng như nhật ký quản trị trên Google Workspace. Việc triển khai xác thực đa yếu tố chống lừa đảo cho tài khoản quản trị cũng được xem là biện pháp phòng thủ quan trọng.
Theo Nhóm Tình báo Mối đe dọa của Google (GTIG), điểm xâm nhập ban đầu là các máy chủ REDCap hướng Internet. Sau khi xâm nhập, tin tặc triển khai mã độc INFINITERED nhằm duy trì quyền truy cập, đánh cắp thông tin đăng nhập và cài đặt cửa hậu điều khiển từ xa. Hoạt động của nhóm được ghi nhận từ tháng 9/2023 đến tháng 11/2025.
Điểm đáng chú ý nhất của chiến dịch nằm ở giai đoạn đánh cắp dữ liệu. Thay vì sử dụng công cụ exfiltration chuyên dụng, UNC6508 đã lạm dụng tính năng Content Compliance của Google Workspace. Với quyền quản trị, nhóm này tạo một quy tắc có tên "Patroit" để theo dõi gần 150 từ khóa, địa chỉ email và chủ đề liên quan đến quốc phòng, AI, công nghệ không người lái, an ninh mạng và nghiên cứu y tế.
Mỗi khi email khớp với các tiêu chí trên, Google Workspace sẽ tự động gửi một bản sao BCC đến tài khoản Gmail do tin tặc kiểm soát. Phương thức này không yêu cầu malware trên hệ thống thư điện tử và gần như không tạo ra lưu lượng bất thường, khiến việc phát hiện trở nên khó khăn hơn.
Google cho biết đây là lần đầu tiên họ quan sát thấy một nhóm tin tặc liên hệ với Trung Quốc sử dụng các quy tắc tuân thủ nội dung cấp miền để đánh cắp email ở quy mô lớn. Các từ khóa được thu thập phản ánh rõ mục tiêu tình báo của chiến dịch, từ công nghệ quân sự, trí tuệ nhân tạo đến nghiên cứu y sinh.
Google đã thông báo cho các nạn nhân và vô hiệu hóa cơ sở hạ tầng được sử dụng trong chiến dịch. Công ty khuyến nghị các tổ chức sử dụng REDCap cần vá lỗi hệ thống, loại bỏ các phiên bản cũ và rà soát toàn bộ quy tắc chuyển tiếp, BCC cũng như nhật ký quản trị trên Google Workspace. Việc triển khai xác thực đa yếu tố chống lừa đảo cho tài khoản quản trị cũng được xem là biện pháp phòng thủ quan trọng.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
