Chińska grupa szpiegowska spędziła ponad rok w sieciach medycznych, akademickich i wojskowych instytucji Ameryki Północnej. Jej cele to wrażliwe dane badawcze i korespondencja związana z obroną. Atakujący dostali się do systemów przez lukę bezpieczeństwa na serwerach REDCap, popularne narzędzie do zbierania danych w badaniach naukowych.
Najciekawsza część tego incydentu to sposób, w jaki złodzieje eksportowali zdobyte informacje. Zamiast ryzykować tradycyjne metody przesyłania danych, przeprogramowali reguły filtrowania wiadomości w Google Workspace ofiar. To oznacza, że ustawili automatyczne forwarding — każda wiadomość spełniająca określone kryteria trafiała na konto kontrolowane przez hakerów. Dla ofiar wyglądało to jak normalna funkcja ich własnego systemu.
To przypomina ważną lekcję dla bezpieczeństwa: najniebezpieczniejsze narzędzia szpiegowskie to czasem te, które mamy już zainstalowane. Google Workspace to mainstream w biznesie i edukacji, a jego wbudowane funkcje były projektowane dla wygody użytkownika, nie obrony przed zaawansowanymi zagrożeniami. Incydent sugeruje, że organizacje powinny znacznie bardziej pilnować kto i kiedy modyfikuje reguły mailowe — szczególnie w instytucjach zajmujących się danymi wrażliwymi.