Auf den Punkt: Angreifer versteckten sich über ein Jahr in Forschungsnetzwerken und leiteten Forschungs- und Verteidigungs-E-Mails durch konfigurierte Google-Workspace-Regeln ab, statt klassische Exfiltrationskanäle zu nutzen.
Eine China-vertraute Spionagegruppe infiltrierte nordamerikanische Medizin-, Wissenschafts- und Verteidigungsnetzwerke über Backdoors auf REDCap-Servern und nutzte manipulierte Google-Workspace-E-Mail-Regeln zur Datenexfiltration.
Eine China-vertraute Spionagegruppe infiltrierte Netzwerke nordamerikanischer Medizin-, Universitäts- und Verteidigungseinrichtungen. Der Befall war länger als ein Jahr aktiv und ermöglichte den Diebstahl vertraulicher Forschungs- und Verteidigungs-Korrespondenz.
Der initiale Zugriff erfolgte über eine Backdoor auf REDCap-Servern, einer weit verbreiteten Plattform für klinische Forschungsdatenverwaltung. Über diese Backdoor wurden Anmeldedaten kompromittiert und zur Lateral-Movement in Google-Workspace-Umgebungen genutzt.
Bemerkenswert ist die Exfiltrationsmethode: Die Angreifer rekonfigurierten Forwarding-Regeln in den kompromittierten Google-Workspace-Konten, um automatisch Nachrichten an externe Adressen umzuleiten. Dies nutzte die bestehende E-Mail-Infrastruktur der Opfer und erschwerte die forensische Erkennung gegenüber traditionellen Exfiltrationsmustern wie Datentransfer über Netzwerkkanäle.
Für CISOs unterstreicht dieser Fall die Bedeutung von Überwachung von E-Mail-Forwarding-Regeln und Zugriffskontrolle auf Konfigurationsänderungen in Cloud-Collaboration-Diensten. Die Nutzung von REDCap-Umgebungen als Bedrohungsvektor erfordert zusätzliche Segmentierung und Monitoring kritischer Forschungsinfrastruktur.
Quelle: thehackernews.com · Erschienen 15. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.