Spionaggio Cinese con INFINITERED: email rubate in silenzio sfruttando regole di compliance di Google Workspace

Un recente caso di cyber spionaggio ha mostrato come un gruppo legato alla Cina sia riuscito a restare nascosto per oltre un anno all’interno di reti nordamericane di ambito medico, accademico e di ricerca collegata alla difesa, sottraendo email e informazioni sensibili. I bersagli hanno incluso organizzazioni in Stati Uniti e Canada, tra cui strutture cliniche, università, istituzioni sanitarie militari, enti regolatori e gruppi di advocacy.

La particolarità dell’operazione non è stata solo l’accesso iniziale, ma soprattutto il metodo di esfiltrazione basato su funzionalità legittime del cloud.

Il punto di ingresso è stato individuato in server REDCap esposti su Internet, una piattaforma web molto diffusa per la gestione di database e studi di ricerca. Dopo la compromissione, gli attaccanti hanno inserito un malware personalizzato chiamato INFINITERED, progettato per modificare file di sistema della piattaforma e mantenere la persistenza anche durante gli aggiornamenti. Questo backdoor ha permesso di intercettare credenziali dalla pagina di login e salvarle in tabelle locali in forma cifrata, oltre a ricevere comandi tramite cookie HTTP ed eseguire azioni ad ogni caricamento pagina.

Con il tempo il gruppo ha effettuato ricognizione interna e furto di credenziali, includendo account di servizio e dati di database, fino a ottenere privilegi elevati e arrivare a un account con diritti di amministratore di dominio. A quel punto è iniziata la fase più insidiosa per la sicurezza email: invece di usare strumenti rumorosi o malware sui server di posta, gli attaccanti hanno abusato delle regole di conformità dei contenuti in Google Workspace. Queste regole, nate per esigenze di compliance e controllo, possono analizzare i messaggi in base a parole chiave e applicare azioni automatiche come copia o inoltro.

Gli aggressori hanno creato una regola che monitorava circa 150 keyword e indirizzi e, quando un messaggio corrispondeva ai criteri, veniva copiato in modo silenzioso verso una casella controllata dagli attaccanti tramite invio in BCC. In questo modo il furto di email avveniva senza traffico anomalo e senza strumenti di esfiltrazione dedicati, sfruttando una funzione integrata nella suite cloud.

Misure di riduzione del rischio

• REDCap: aggiornare e mettere in sicurezza i server esposti, rimuovere versioni obsolete che possono consentire downgrade verso release vulnerabili.
• Account amministrativi: rafforzare l’accesso con MFA resistente al phishing.
• Google Workspace: verificare regole di content compliance e mail forwarding.
• Audit e rilevamento: controllare i log di audit per cambiamenti sospetti e cercare indicatori legati a INFINITERED.