Des serveurs REDCap exposés sur internet ont été la cible d’une campagne d’espionnage liée à la Chine. Les attaquants y ont déployé le logiciel malveillant InfiniteRed pour dérober des données sensibles à un établissement médical d’Amérique du Nord.
Les chercheurs du Google Threat Intelligence Group attribuent ces attaques à un groupe identifié sous le nom d’UNC6508. Cet acteur est resté présent sur le réseau de la victime pendant plus d’une année sans être détecté.
La plateforme REDCap est très utilisée dans la recherche médicale et scientifique. Elle sert à créer et gérer des bases de données et des enquêtes qui respectent les réglementations en vigueur.
Les enquêteurs n’ont pas pu déterminer avec certitude le vecteur d’intrusion initial. Ils ont toutefois observé qu’UNC6508 sondait des versions anciennes et vulnérables de REDCap.
Le piratage de l’organisation de recherche médicale s’est produit en septembre 2023. L’activité malveillante s’est ensuite poursuivie pendant plus d’un an, jusqu’en novembre 2025.
Trois mois après l’intrusion initiale, les pirates ont déployé un logiciel malveillant sur mesure baptisé Infinitered. Conçu spécifiquement pour les systèmes REDCap, il a dissimulé ses composants en se faisant passer pour des fichiers système légitimes du serveur.
Infinitered se compose de trois modules : un module de persistance et de mise à jour, un collecteur d’identifiants et une porte dérobée.
Source : Google
Le collecteur d’identifiants saisit les noms d’utilisateur et les mots de passe soumis via les pages de connexion de REDCap. Il les chiffre ensuite et les stocke dans des tables locales de la base de données REDCap pour une récupération future.
La porte dérobée reçoit ses commandes via des cookies HTTP. Elle offre au groupe UNC6508 plusieurs capacités :
- Exécuter des commandes shell
- Téléverser des fichiers sur le serveur REDCap
- Télécharger des fichiers depuis le serveur
- Exécuter des requêtes SQL arbitraires
- Récupérer les identifiants volés
- Supprimer les enregistrements d’identifiants volés
- Renvoyer des informations système et de base de données
Une technique notable de cette campagne, et inédite pour les groupes liés à la Chine, a été l’utilisation d’une fonctionnalité légitime présente dans les outils de productivité d’entreprise en cloud. La fonction de « règles de conformité du contenu » a été détournée pour exfiltrer des données par courriel.
Après avoir obtenu un accès administrateur, UNC6508 a créé une règle de conformité du contenu nommée « Patriot ». Cette règle scanne l’organisation pour trouver des mots-clés spécifiques, des modèles de contenu, des adresses e-mail et des numéros de téléphone.
Toute correspondance était automatiquement envoyée en copie cachée à l’adresse ‘BebitaBarefoot774@gmail.com’, laquelle a depuis été désactivée par Google.
Les mots-clés utilisés pour rechercher des données de valeur concernaient la recherche médicale, les technologies avancées, les sujets militaires et la politique géostratégique.
Source : Google
Les chercheurs de Google ont observé un haut niveau de sécurité opérationnelle pendant toute cette campagne. Les pirates ont utilisé une infrastructure de proxy résidentiel basée aux États-Unis, des routeurs compromis, des serveurs privés virtuels, la relecture d’identifiants et une infrastructure dédiée à l’exfiltration des données.
Google a notifié plusieurs organisations aux États-Unis et au Canada qui avaient été compromises par le logiciel malveillant InfiniteRed.
Leurs domaines de recherche couvrent un large spectre de la médecine moderne, de la découverte moléculaire et des essais cliniques de médicaments à la politique de santé publique et à la préparation militaire au niveau étatique.
Il est recommandé aux administrateurs REDCap de mettre à jour leurs instances vers les dernières versions disponibles et de supprimer les déploiements obsolètes.
Google conseille également d’utiliser l’authentification multifacteur ou la validation en deux étapes sur les comptes à privilèges élevés, ainsi que les Device Bound Session Credentials pour empêcher le détournement de session.
Des règles YARA et des indicateurs de compromission sont disponibles dans le rapport pour aider à analyser les environnements et détecter d’éventuelles infections par le malware Infinitered.