Hackergruppe UNC6508: 26 Monate unentdeckt in US-Forschungsnetzen
16.06.2026 - 22:55:25 | boerse-global.de
Eine mutmaßlich aus China gesteuerte Hackergruppe hat über 26 Monate hinweg akademische, medizinische und militärische Forschungseinrichtungen in Nordamerika infiltriert. Die Angreifer nutzten eine ausgeklügelte Kombination aus gestohlenen Zugangsdaten und einer speziell entwickelten Schadsoftware.
Angesichts immer komplexerer Hacker-Methoden wie bei UNC6508 müssen Unternehmen ihre Sicherheitsstrategie proaktiv anpassen. Das kostenlose E-Book liefert fundierte Informationen zu aktuellen Bedrohungen und zeigt, wie Sie Sicherheitslücken effektiv schließen. Gratis-E-Book: IT-Sicherheit jetzt stärken
Infiltration über REDCap-Server
Die als UNC6508 bezeichnete Gruppe verschaffte sich zwischen September 2023 und November 2025 Zugang zu den Netzwerken ihrer Opfer, indem sie REDCap-Server kompromittierte. REDCap ist eine weit verbreitete Plattform zur Datenerfassung in klinischen Studien, die an zahlreichen Forschungseinrichtungen zum Einsatz kommt.
Nach dem Eindringen installierten die Angreifer die Malware-Suite INFINITERED – ein vielseitiges Werkzeug, das als Einschleusungsprogramm, Passwortdieb und dauerhafter Hintertürzugang fungierte. Die Schadsoftware erlaubte es den Angreifern, in manchen Netzwerken über ein Jahr lang unentdeckt zu bleiben.
Die Ziele waren gezielt ausgewählt: Einrichtungen, die zu künstlicher Intelligenz, Militärstrategie, unbemannten Fahrzeugen und medizinischer Forschung arbeiteten, standen im Fokus der Angreifer.
Google Workspace als Datenautobahn missbraucht
Besonders raffiniert war die Methode der Datenexfiltration. Statt auf klassische Angriffstechniken zu setzen, die Sicherheitswarnungen auslösen könnten, manipulierten die Hacker eine legitime Funktion von Google Workspace.
Sie erstellten eine Regel namens "Patroit", die automatisch eine Blindkopie (BCC) aller relevanten E-Mails an ein externes Konto sendete: bebitabarefoot774@gmail.com. Die Regel war so konfiguriert, dass sie nur Nachrichten mit bestimmten Schlüsselwörtern weiterleitete – rund 150 an der Zahl.
Die Liste der Suchbegriffe enthielt neben Verteidigungs- und Gesundheitsterminologie auch spezifische Begriffe wie "Chikungunya" – ein Hinweis auf einen Ausbruch dieser Viruserkrankung in der chinesischen Provinz Guangdong im Jahr 2025. Diese Methode hinterließ keine traditionellen forensischen Spuren, was die Erkennung durch Standard-Sicherheitstools erheblich erschwerte.
Da Angreifer zunehmend auf die Manipulation legitimer Cloud-Funktionen setzen, wird die Einhaltung aktueller Compliance-Standards wie dem EU AI Act immer wichtiger. Dieser kostenlose Umsetzungsleitfaden bietet Ihrer IT- und Rechtsabteilung den nötigen Überblick über neue Pflichten und Risikoklassen. Kostenlosen AI Act Leitfaden herunterladen
Ermittlungen und Gegenmaßnahmen
Das Google Threat Intelligence Group (GTIG) identifizierte die Angriffe und veröffentlichte Indikatoren für Kompromittierungen (IOCs), um betroffene Organisationen zu warnen. Google hat das vom Angreifer genutzte Gmail-Konto inzwischen deaktiviert und die Opfer benachrichtigt.
Die Kampagne traf ein breites Spektrum von Einrichtungen – von nationalen und staatlichen Behörden bis hin zu privaten Forschungseinrichtungen. Bereits im Februar 2026 war die Gruppe in einem Bericht über Angriffe auf den Verteidigungssektor erwähnt worden.
Trotz der aktuellen Enthüllungen und der Deaktivierung spezifischer Konten gehen Sicherheitsexperten davon aus, dass die Gruppe weiterhin aktiv ist. Die langen Verweildauern in den kompromittierten Netzwerken und die raffinierte Nutzung legitimer Cloud-Funktionen machen UNC6508 zu einem besonders gefährlichen Akteur in der Cyberspionage-Landschaft.
