Zum Inhalt springen

China-verknüpfte Angreifer missbrauchten REDCap-Schwachstellen gegen US- und kanadische Forschungseinrichtungen

Auf den Punkt: UNC6508 exploitierte die Möglichkeit, Legacy-REDCap-Versionen parallel zur aktuellen Installation zu betreiben, um über das INFINITERED-Framework über ein Jahr lang Forschungseinrichtungen in den USA und Kanada zu überwachen.

Die Threat-Group UNC6508, verknüpft mit China-gestützten Akteuren, infiltrierte über mehr als ein Jahr US- und kanadische Forschungsumgebungen durch Exploits veralteter REDCap-Versionen. Google's Threat Intelligence Group unterbrach die Kampagne und warnt vor dem Malware-Framework INFINITERED, das sich in REDCap-Upgrade-Prozesse einschleicht.

Die Kampagne zielt auf akademische Institutionen, medizinische Forschungszentren, Gesundheitsdienstleister, Militär-Gesundheitsnetzwerke und verteidigungsorientierte Forschungsprogramme ab. UNC6508 missbrauchte REDCap — eine weit verbreitete Plattform für die Erfassung und Verwaltung von Forschungsdaten — indem die Angreifer den Upgrade-Prozess kaperten, um Persistenz-Malware einzuschleusen. Ziel waren Informationen zu nationaler Sicherheit, KI, Cyber-Operationen und medizinischer Forschung.

Das INFINITERED-Malware-Framework besteht aus drei Komponenten: einem Dropper zur Upgrade-Interception, einer Credential-Harvester und einem Backdoor mit Command-and-Control-Funktion. Die Upgrade-Interception liest veraltete, bereits kompromittierte REDCap-Versionen aus — REDCap ermöglicht es Administratoren, Legacy-Versionen parallel zur aktuellen Installation zu betreiben — und injiziert den bösartigen Code in die Upgrade-Systemdateien. Parallel werden Credential-Harvesting-Code in die Authentifizierungsdatei und Backdoor-Code in die Custom-Hooks-Konfigurationsdatei injiziert. Zusätzlich platzierte UNC6508 eine Web-Shell namens „help.php” zur Aufrechthaltung der Persistenz und als Uploader.

Nach dem Eindringen führte die Gruppe interne Rekognoszierung durch und sammelte Datenbank- sowie Service-Account-Credentials. Der Backdoor unterstützt umfassende Remote-Commands zum Dateimanagement, Shell-Command-Ausführung, Systeminformations-Erfassung und Kontrollerhaltung über kompromittierte REDCap-Server.

Google empfiehlt betroffenen Organisationen, REDCap-Umgebungen auf nicht autorisierte Dateimodifikationen, unerwartete Web-Shells und Anzeichen von Credential-Harvesting-Aktivitäten zu überprüfen — unterstützt durch Google-bereitgestellte YARA-Rules. Daneben sollten vulnerable REDCap-Deployments aktualisiert, veraltete parallel erreichbare Versionen geprüft und die Integrität von Anwendungsdateien vor und nach Upgrades validiert werden. Google empfiehlt zusätzlich phishing-resistente Zwei-Faktor-Authentifizierung, Geräte-gebundene Session-Credentials und entsprechende Datenleakage-Prevention-Regeln.


Quelle: www.csoonline.com · Erschienen 16. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.

Share on: