Google gab am Montag bekannt, dass eine Hackergruppe, die seiner Meinung nach Verbindungen zu China hatte, über ein Jahr lang heimlich in mehrere wissenschaftliche Forschungseinrichtungen in den Vereinigten Staaten und Kanada eingedrungen war und Daten von ihnen gestohlen hatte, wobei es sich dabei um Universitäten sowie medizinische und militärische Forschungseinheiten handelte. Die Operation dauerte von September 2023 bis November 2025. In diesem Zeitraum führten Hacker Geheimdienstdiebstahlaktivitäten in den Bereichen Verteidigungsaufklärung, Militärstrategie in der Indopazifik-Region, künstliche Intelligenz, unbemannte Systeme, Cyber-Kriegsprojekte und medizinisch-wissenschaftliche Forschung durch.
Das Threat-Intelligence-Team von Google gab in seinem jüngsten Bericht an, dass die Namen der angegriffenen Organisationen nicht der Öffentlichkeit zugänglich gemacht wurden, der Forschungsbereich dieser Einheiten jedoch von der Entdeckung von Arzneimitteln und klinischen Studien bis hin zur öffentlichen Gesundheitspolitik und der militärischen Einsatzbereitschaft reicht und Tausende von Mitarbeitern sowie ein Gesamtbudget für wissenschaftliche Forschung in Milliardenhöhe umfasst. Google führte diese Aktion auf seine interne Hackergruppe mit der Nummer „UNC6508“ zurück und nannte sie eine relativ neue, aber wenig bekannte Cyberspionagegruppe. Seine Vorgehensweise steht in hohem Maße im Einklang mit den Techniken und Zielen von Hacking-Aktivitäten, die seit vielen Jahren als „China-bezogen“ eingestuft werden, und konzentriert sich auf Geheimdienstinformationen und Forschungsergebnisse, die im Verdacht stehen, das Interesse der chinesischen Regierung zu wecken.
Die chinesische Botschaft in Washington reagierte nicht sofort auf eine Bitte um Stellungnahme. Peking hat stets bestritten, illegale Hacking-Aktivitäten durchgeführt oder geduldet zu haben, und wenn ähnliche Anschuldigungen erhoben werden, betont es in der Regel, dass es auch Opfer von Cyberangriffen sei, und fordert alle Länder auf, die Herausforderungen der Cybersicherheit durch Dialog und Zusammenarbeit anzugehen.
Die Untersuchung von Google zeigt, dass die frühesten bekannten Anzeichen einer Aktivität bei dieser Spionageoperation auf September 2023 zurückgehen. Damals nutzten die Angreifer eine Sicherheitslücke im Server, auf dem REDCap läuft, um den Einbruch zu starten. REDCap ist eine Webanwendung, die in gemeinnützigen Organisationen weit verbreitet ist und häufig zum Erstellen und Verwalten von Online-Fragebögen und wissenschaftlichen Forschungsdatenbanken verwendet wird. Die Hacker verwendeten hausgemachte Malware, um legitime REDCap-Anmeldeinformationen zu stehlen, sich in das Zielnetzwerk einzuschleichen, ohne regelmäßige Warnungen auszulösen, und richteten dann ein automatisiertes System ein, um E-Mails mit bestimmten Schlüsselwörtern und Suchbegriffen an das von ihnen kontrollierte Gmail-Konto weiterzuleiten, um kontinuierlich vertrauliche Informationen zu sammeln.
In dem Bericht wurde darauf hingewiesen, dass Google-Forscher herausgefunden haben, dass es sich bei diesen Schlüsselwörtern und Suchbegriffen um nahezu 150 handelte, darunter die Telefonnummern und E-Mail-Adressen mehrerer Mitarbeiter der angegriffenen Organisation sowie Fachbegriffe im Zusammenhang mit geostrategischer Politik, Militärstrategie, Spitzentechnologie und medizinischer Forschung. Durch diesen Mechanismus konnten Hacker mehr als ein Jahr lang eine große Menge an E-Mail-Kommunikation mit engem Bezug zu Verteidigungs-, Technologie- und medizinischen Themen überprüfen und exportieren. REDCap antwortete nicht auf Fragen zu Angriffen und Exploits.
Google sagte, es habe schließlich eine Reihe von Organisationen identifiziert, die in den Vereinigten Staaten und Kanada kompromittiert worden seien, und die zuständigen Einheiten nacheinander benachrichtigt, um ihnen dabei zu helfen, Eindringungspfade zu identifizieren, ausgenutzte Systemschwachstellen zu blockieren und entsprechende Schutzmaßnahmen zu ergreifen. Obwohl die konkrete Organisation des Opfers und die Schadensdetails noch nicht bekannt gegeben wurden, wird dieser Vorfall als eine weitere langfristige Infiltrationsoperation angesehen, die auf hochwertige wissenschaftliche Forschung und Verteidigungsinformationen abzielt, was die anhaltende Zunahme der Risiken grenzüberschreitender Cyberspionage im akademischen, medizinischen und militärischen Bereich verdeutlicht.