谷歌威胁情报团队日前披露,一个名为UNC6508的黑客组织与中国有关,秘密入侵美国和加拿大的学术、医疗及军事研究机构,时间长达两年多,窃取大量敏感数据 [1, 2, 3, 4, 5, 6, 7]。
该黑客组织从2023年9月开始,利用非营利及研究机构广泛使用的REDCap网络应用程序的漏洞实施攻击,直到2025年11月被谷歌发现 [1, 3, 4, 5, 6, 7]。REDCap用于管理在线调查和数据库,黑客通过恶意软件窃取了合法的登录凭据,获得网络访问权限,并设置自动转发包含约150个地缘政治、军事、技术及医疗关键词的邮件到黑客控制的Gmail账户 [1, 3, 4, 5, 6, 7]。
受影响的机构涵盖了药物开发、临床试验、公共卫生政策、军事准备、人工智能、无人机、印太地区军事战略和网络战项目等多个领域 [1, 2, 3, 4, 5, 6, 7]。这些机构拥有数千名员工和数十亿美元的研究预算,黑客窃取的数据涉及高度敏感的科研和军事信息 [1, 2, 3, 4, 5, 6, 7]。
谷歌威胁情报副主任Luke McNamara称,该组织的行为模式与长期以来被观察到的中国国家支持的网络间谍活动高度相似,主要针对对中国政府有价值的情报进行获取 [1]。
谷歌团队不仅公开了这一黑客活动,还通知受影响机构,协助他们修补漏洞并切断黑客的基础设施连接 [1, 3, 5, 6, 7]。
中国驻华盛顿大使馆及北京当局目前尚未对相关攻击指控作出回应,也未否认涉案指控,这与以往类似指控的反应一致 [1, 2, 3, 4, 5, 6, 7]。
此次事件揭示的窃密活动始于2023年9月,2025年11月被谷歌侦测并报告,显示该黑客组织长时间潜伏并持续偷取情报 [1, 3, 5, 6, 7]。
