Spionaggio silenzioso: un gruppo cinese ha trasformato una regola di Google Workspace in una cimice
Per oltre due anni gli attaccanti hanno copiato di nascosto le email di ricerca su salute e difesa, sfruttando una funzione legittima di Google Workspace. Nessun malware appariscente: solo una regola configurata ad arte.
Le operazioni di spionaggio più insidiose non fanno rumore. Il Google Threat Intelligence Group ha attribuito con alta confidenza a un gruppo legato alla Cina, identificato come UNC6508, una campagna durata oltre due anni che ha colpito istituzioni di ricerca mediche, accademiche e militari in Stati Uniti e Canada.
La tecnica è notevole proprio perché poco vistosa. Dopo essere entrati attraverso server di ricerca esposti su internet e aver ottenuto i privilegi di amministratore del dominio, gli attaccanti hanno abusato di una funzione legittima di Google Workspace: le regole di "conformità dei contenuti", normalmente usate dalle aziende per filtrare la posta. Ne hanno creata una, configurata per intercettare circa 150 parole chiave e inoltrare in copia nascosta (BCC) le email corrispondenti verso una casella Gmail controllata da loro. Una cimice, di fatto, costruita con uno strumento di sicurezza. L'attività si è protratta dal settembre 2023 almeno fino al novembre 2025.
La lezione è scomoda: non sempre l'attacco lascia tracce di malware. A volte sfrutta funzioni legittime, configurate male o dirottate, che nessun antivirus segnala. Difendersi richiede di sorvegliare non solo ciò che entra, ma anche le regole e i privilegi all'interno dei propri sistemi.
