O Google divulgou na segunda-feira que um grupo de hackers identificado como tendo ligações com a China invadiu e roubou secretamente dados de várias instituições de pesquisa científica nos Estados Unidos e no Canadá por mais de um ano, visando universidades e unidades de pesquisa médica e militar. A operação durou de setembro de 2023 a novembro de 2025. Durante este período, os hackers realizaram atividades de roubo de inteligência nas áreas de inteligência de defesa, estratégia militar na região Indo-Pacífico, inteligência artificial, sistemas não tripulados, projetos de guerra cibernética e pesquisa científica médica.
A equipa de inteligência de ameaças da Google afirmou no seu último relatório que os nomes das organizações atacadas não foram divulgados ao público, mas o âmbito de investigação destas unidades varia desde a descoberta de medicamentos e ensaios clínicos até políticas de saúde pública e prontidão militar, envolvendo milhares de funcionários e um orçamento combinado de investigação científica de milhares de milhões de dólares. O Google atribuiu esta ação ao seu grupo interno de hackers número “UNC6508”, chamando-o de um grupo de espionagem cibernética relativamente novo, mas pouco conhecido. O seu modus operandi é altamente consistente com as técnicas e objetivos das atividades de hacking que foram classificadas como “relacionadas com a China” durante muitos anos, concentrando-se em inteligência e resultados de investigação que são suspeitos de despertar o interesse do governo chinês.
A Embaixada da China em Washington não respondeu imediatamente a um pedido de comentário. Pequim sempre negou ter realizado ou tolerado quaisquer atividades ilegais de pirataria informática e, quando surgem acusações semelhantes, normalmente enfatiza que também é vítima de ataques cibernéticos, apelando a todos os países para que enfrentem os desafios de segurança cibernética através do diálogo e da cooperação.
A investigação do Google mostra que os primeiros sinais conhecidos de atividade nesta operação de espionagem datam de setembro de 2023. Naquela época, os invasores exploraram uma vulnerabilidade de segurança no servidor que executa o REDCap para lançar a intrusão. REDCap é um aplicativo da web amplamente utilizado em organizações sem fins lucrativos e frequentemente usado para construir e gerenciar questionários online e bancos de dados de pesquisas científicas. Os hackers usaram malware caseiro para roubar credenciais de login legítimas do REDCap, entrar furtivamente na rede alvo sem acionar alertas regulares e, em seguida, configurar um sistema automatizado para encaminhar e-mails contendo palavras-chave específicas e termos de pesquisa para a conta do Gmail que eles controlavam para coletar continuamente informações confidenciais.
O relatório apontou que os pesquisadores do Google descobriram que essas palavras-chave e termos de pesquisa eram próximos de 150, incluindo números de telefone e endereços de e-mail de vários funcionários da organização atacada, bem como termos profissionais relacionados à política geoestratégica, estratégia militar, tecnologia de ponta e pesquisa médica. Através deste mecanismo, os hackers conseguiram filtrar e exportar uma grande quantidade de comunicações por e-mail intimamente relacionadas com defesa, tecnologia e questões médicas durante mais de um ano. O REDCap não respondeu a perguntas sobre ataques e explorações.
O Google disse que finalmente identificou uma série de organizações que foram comprometidas nos Estados Unidos e no Canadá e notificou as unidades relevantes, uma por uma, para ajudá-las a identificar caminhos de intrusão, bloquear vulnerabilidades exploradas do sistema e tomar medidas de proteção de acompanhamento. Embora a organização específica das vítimas e os detalhes das perdas ainda não tenham sido divulgados, este incidente é considerado como mais uma operação de infiltração de longo prazo que visa investigação científica de alto valor e inteligência de defesa, destacando o aumento contínuo dos riscos de espionagem cibernética transnacional nos campos académico, médico e militar.