Google ha sacado a la luz una campaña de ciberespionaje de atribución china que llevaba dos años operando sin ser detectada en redes médicas y militares de Estados Unidos y Canadá. El grupo, bautizado como UNC6508, utilizó una puerta trasera personalizada, INFINITERED, para robar credenciales y correos electrónicos tras explotar servidores REDCap vulnerables.
El equipo de inteligencia de amenazas de Google (GTIG) rastreó la actividad hasta septiembre de 2023, aunque la descubrió a finales de 2025. El grupo comprometió una universidad de investigación médica en septiembre de 2023 y permaneció activo hasta noviembre de 2025. Entre las víctimas confirmadas figuran centros clínicos, universidades y entidades de salud militar, además de organizaciones de ciberseguridad y política exterior.
La vía de entrada fueron los servidores REDCap (Research Electronic Data Capture), un software ampliamente utilizado en investigación médica. Aunque se desconoce el vector inicial exacto, el grupo explotó vulnerabilidades críticas de ejecución remota que fueron parcheadas a lo largo de 2023 sin que los parches se aplicaran a tiempo en todos los casos.
INFINITERED, el backdoor a medida, permitía robar credenciales administrativas y luego moverse lateralmente por la red. Los atacantes abusaron de reglas de conformidad de dominio para exfiltrar datos sin depender de malware tradicional, y enrutaron el tráfico a través de IPs estadounidenses para camuflarse.
Patrick Whitsell, ingeniero senior de seguridad de GTIG, reconoció que ‘no conocemos el alcance completo ni el impacto de la campaña’. Google desactivó una cuenta de Gmail utilizada como canal de exfiltración, notificó a las organizaciones afectadas y colaboró en la remediación. Pese a ello, los investigadores creen que las víctimas identificadas son solo una fracción de una operación mucho mayor.
Llevo años escribiéndolo: el próximo 11S no empezará con un avión, sino con un clic, y comenzará por el sistema de alguien que no se ha actualizado.
Tradecraft y atribución: por qué UNC6508 es diferente
A diferencia de otros grupos de ciberespionaje chinos como APT10 o APT41, UNC6508 no encaja con ningún actor conocido hasta ahora. Su táctica de abusar de reglas de dominio y enrutar tráfico por IPs locales norteamericanas denota un alto grado de sofisticación y conocimiento del terreno. Whitsell apuntó que hay indicios de que el grupo cuenta con múltiples subequipos, lo que sugiere una estructura grande y bien financiada.
Google no atribuye directamente UNC6508 a Pekín, pero los expertos coinciden en que se trata de un grupo auspiciado por el Estado chino. El patrón de objetivos —salud militar, investigaciones académicas con implicaciones duales y entidades de defensa— cuadra con las prioridades del Ministerio de Seguridad del Estado (MSS) y del Ejército Popular de Liberación (PLA). La persistencia silenciosa durante más de un año sin ser detectado es la nueva normalidad: los APT chinos han refinado su oficio para pasar desapercibidos.
Dossier Moncloa: Ojos en la Sombra
Vector de amenaza: ciberataque mediante puerta trasera con explotación de vulnerabilidades en software de código abierto y abuso de reglas de confianza. La campaña robó datos de investigación médica y comunicaciones militares, material con un alto valor de inteligencia. Las agencias implicadas son, por el lado atacante, el grupo UNC6508 —presumiblemente una unidad del MSS o del PLA—; por el lado defensor, Google Threat Intelligence Group y las instituciones norteamericanas; y como terceros observadores, los servicios de inteligencia de Five Eyes y, de cerca, el CNI a través del CCN-CERT.
El nivel de clasificación de los datos comprometidos puede estimarse como ‘Confidencial‘ o incluso ‘Secreto’ si incluían estudios de defensa biológica o planes de contingencia militar. Desde Madrid, el CCN-CERT monitoriza constantemente la actividad de grupos APT chinos y emite alertas sobre servidores expuestos, pero la realidad es que la dependencia de plataformas como REDCap en la investigación médica española abre un vector de riesgo real. No es ciencia ficción: ya he escrito que en España hay 8.000 infraestructuras críticas atacables a través de internet.
El precedente histórico es inequívoco: desde la Operación Cloud Hopper hasta las filtraciones masivas de SolarWinds por parte del SVR ruso, los servicios de inteligencia llevan años preposicionándose en redes críticas. UNC6508 sigue ese manual. Lo que cambia es la sutileza: abusar de reglas de dominio legítimas para la exfiltración reduce la huella y dificulta la detección. El grupo permanece activo y, como reconoce Google, los daños completos se desconocen.
Le adelanto que, en los próximos meses, veremos más atribuciones de este tipo. La pregunta no es si el CNI se enfrentará a una campaña similar, sino cuándo. La respuesta, me temo, ya está en curso.
