近年来，跟踪与中国政府有关的间谍活动的研究表明，这些间谍在多个北美医疗和军事研究组织的网络中潜伏超过一年，使用自定义恶意软件，通过Gmail进行窃探和窃取敏感数据。谷歌表示，这些入侵者寻找从无人机技术到病原体的各类信息。这支与中国政府有联系的间谍团队被谷歌追踪为UNC6508，他们在搜索要窃取的数据时使用了一些特别显著的搜索词，包括无人机技术和一种由蚊子传播给人类的病毒性疾病。“这是我从国家赞助的行为者那里看到的最有趣的购物清单之一，”谷歌威胁情报组副首席分析师卢克·麦克纳马拉告诉《注册》杂志。“我们的活动涉及国防相关的内容，这也是不同术语中重要的组成部分，或者与国防平台系统或公司相关的邮件，”麦克纳马拉说。“其中一些是在寻找任何发送或接收的邮件，这些邮件的地址包含@以及一个大型国防名字。其他则是更小型防务公司的个别电子邮件地址。”尽管大多数术语与国防和技术相关，但入侵者还搜索了一些医学研究机构，以及非常具体的病原体“基孔肯雅病毒”，这是一种由蚊子传播给人类的病毒性疾病，曾在2025年7月在中国广东省引发疫情。谷歌没有透露此次行动中有多少组织受到影响。一份周一的报告称，这场行动针对了多个国家、州和私营的医疗实体。“这些组织包括世界知名的临床提供者、一流的学术中心、北美军事卫生机构、专业倡导团体和卫生监管机构，”该报告称。“它们的研究领域涵盖现代医学的广泛范围，从分子发现和临床药物试验到州级公共卫生政策和军事准备。”麦克纳马拉告诉我们，科技公司的事件响应团队已通知所有确认的受害者，“我们怀疑可能还有更多。”事件响应人员首先在2025年初检测到此次活动，但告知我们这项活动至少可以追溯到2023年，并且所有这些攻击开始时数字入侵者以某种方式利用了外部面向的REDCap（研究电子数据捕获）服务器。这些服务器主要用于大学、医院和研究机构建立和管理在线数据库和调查，并存储敏感的临床研究数据。已知的最早入侵发生在2023年9月，当时UNC6508入侵了一个北美医学研究机构的REDCap服务器。麦克纳马拉告诉我们，所有的入侵都遵循这个相同的模式。在三个月后，窃贼悄悄部署了自定义恶意软件InfiniteRed，以捕获合法的REDCap登录凭据。该恶意软件包括三个模块化组件。第一个组件使其能够通过拦截升级过程并将其代码注入到新的REDCap版本中，来维持持久的远程访问。然后，它向认证系统文件注入 Credential Harvester 以破坏用户帐户。最后，作为后门，它具有自定义的钩子，以在每个REDCap页面加载时执行。谷歌的威胁情报团队识别出“多个”位于美国和加拿大的组织受到了InfiniteRed的感染，并提供协助以移除恶意软件。在潜伏超过一年后，UNC6508利用被盗的凭证访问了管理员账户和受害者的内部网络。最终，攻击者添加了暗中域内容合规规则以进行数据盗窃。所有'Patriot'主题的电子邮件被发送到BebitaBarefoot774。内容合规规则是许多基于云的企业生产力套件（如谷歌工作区）中的合法功能，用于外流特定的电子邮件通信。管理员可以创建这些规则，以管理包含预定义单词或短语集的邮件，这些规则适用于组织单元中的所有用户。UNC6508创建了一个名为“Patriot”（是的，他们拼错了“爱国者”）的合规规则，用于匹配发送或接收的电子邮件中的关键词和电子邮件地址模式。这些邮件随后悄无声息地BCC转发到一个由攻击者控制的Gmail地址BebitaBarefoot774[@]gmail[.]com，向与中国政府相关的团队提供了关于地缘战略政策、军事战略、先进技术和医学研究的稳定邮件流。搜索词还包括这些领域成员的专业电子邮件地址和电话号码。GTIG禁用了Gmail账户以防止进一步的数据外流。