Google周一披露,一个被其认定为与中国有关联的黑客组织,在超过一年的时间里秘密入侵并窃取了美国和加拿大多家科研机构的数据,目标涵盖高校、医疗与军方研究单位。该行动自2023年9月起持续至2025年11月,期间黑客围绕防务情报、印太地区军事战略、人工智能、无人系统、网络战项目以及医学科研等领域展开情报窃取活动。
Google威胁情报团队在最新报告中表示,被攻击的机构名称未对外公布,但这些单位的研究范围从药物发现、临床试验到公共卫生政策与军事战备不等,涉及人员数以千计,合计科研预算高达数十亿美元。Google将这一行动归因于其内部编号为“UNC6508”的黑客组织,称其为一个相对新近、但鲜为人知的网络间谍团伙,其作案手法与多年来被归类为“中国关联”黑客活动的技术与目标高度一致,集中指向疑似能引发中国政府兴趣的情报与研究成果。
对此,中国驻华盛顿大使馆未立即回应置评请求。北京方面则一贯否认实施或纵容任何非法黑客活动,并在类似指控出现时通常强调自身同样是网络攻击的受害方,呼吁各国通过对话合作应对网络安全挑战。
Google的调查显示,该间谍行动中已知最早的活动迹象可追溯至2023年9月。当时,攻击者利用运行 REDCap 服务器中的安全漏洞发起入侵。REDCap 是一款在非营利机构中广泛使用的网页应用,常被用来搭建和管理在线问卷及科研数据库。黑客通过自制的恶意软件窃取合法的 REDCap 登录凭据,在未触发常规告警的情况下潜入目标网络,随后搭建起一套自动化系统,将含有特定关键词和搜索词的电子邮件转发至其控制的 Gmail 帐号,用于持续收集敏感信息。
报道指出,Google研究人员统计发现,这些关键字与搜索词接近150个,内容包括被攻击机构内部多名人员的电话号码与邮箱地址,以及与地缘战略政策、军事战略、前沿技术和医学研究相关的专业术语。通过这一机制,黑客得以在长达一年多的时间里筛选并导出大量与防务、科技和医疗等议题密切相关的邮件通信。REDCap 方面未就有关攻击和漏洞利用问题作出回应。
Google称,其最终锁定了多家在美国和加拿大境内遭到入侵的组织,并逐一向相关单位发出通知,协助其识别入侵路径、封堵被利用的系统漏洞并采取后续防护措施。尽管具体受害机构及损失细节尚未披露,但此次事件被视为又一例以高价值科研与国防情报为目标的长期渗透行动,凸显跨国网络间谍活动在学术、医疗和军工领域的风险持续上升。