Por Canuto Una campaña de ciberespionaje atribuida a un grupo vinculado al gobierno chino habría puesto en la mira a instituciones médicas, académicas y militares de Norteamérica. Google asegura que los atacantes buscaron información sensible sobre salud, defensa, IA, drones y seguridad nacional, además de abusar de servidores REDCap y reglas de correo para extraer datos.
***
- Google Threat Intelligence Group rastrea a UNC6508, un grupo activo al menos desde 2023 y seguido de cerca desde inicios de 2025.
- Los ataques habrían apuntado a organizaciones de Estados Unidos y Canadá, incluyendo proveedores clínicos, centros académicos e instituciones de salud militar.
- El malware InfiniteRed y el abuso de reglas de cumplimiento de contenido habrían servido para robar credenciales, mantener acceso y exfiltrar correos.
🚨 Alerta de Ciberespionaje 🚨
Google informa sobre ataques chinos a instituciones médicas y militares en Norteamérica.
El grupo UNC6508 busca información sensible sobre salud, IA y defensa.
Han abusado de servidores REDCap y utilizado malware para robar datos.
Las… pic.twitter.com/O8yI7B3V4k
— Diario฿itcoin (@DiarioBitcoin) June 15, 2026
Una campaña de ciberespionaje atribuida a un grupo vinculado al gobierno chino volvió a poner bajo presión a instituciones estratégicas de Norteamérica. El caso destaca por la combinación de objetivos sensibles, desde investigación médica hasta activos militares y desarrollos relacionados con inteligencia artificial.
Google Threat Intelligence Group publicó un análisis centrado en UNC6508, una agrupación que, según sus hallazgos, ha estado activa al menos desde 2023. La compañía indicó que comenzó a seguirla de cerca a inicios de 2025, y ya la había mencionado en un informe difundido en febrero.
La campaña observada por los investigadores se concentró principalmente en América del Norte. Entre los blancos identificados aparecen organizaciones de investigación médica, entidades académicas de alto nivel y entornos asociados al ámbito militar.
El episodio refleja un patrón que preocupa desde hace años a gobiernos y empresas tecnológicas. La competencia por datos científicos, capacidades defensivas y avances en IA se ha convertido en un frente clave dentro del espionaje digital contemporáneo.
En este caso, la investigación sugiere que los atacantes no solo buscaban acceso inicial a sistemas vulnerables. También intentaban permanecer dentro de las redes, recopilar credenciales, filtrar correos específicos y ocultar sus movimientos con infraestructura diseñada para confundir a los defensores.
Objetivos de alto valor en salud, academia y defensa
Google describió a las entidades afectadas como organizaciones de enorme relevancia operativa y científica. Allí se incluyen proveedores clínicos de renombre mundial, centros académicos de primer nivel, instituciones de salud militar de Norteamérica, grupos de defensa profesional y organismos reguladores de salud.
Según la firma, las áreas de investigación de estas instituciones cubren un espectro muy amplio de la medicina moderna. Ese abanico va desde descubrimiento molecular y ensayos clínicos de medicamentos hasta políticas estatales de salud pública y preparación militar.
Ese detalle no es menor, porque el valor estratégico de esos datos trasciende el sector sanitario. La información sobre ensayos, logística médica, preparación institucional y cadenas de decisión puede ser útil tanto para fines de inteligencia como para evaluación geopolítica.
Los investigadores también concluyeron que UNC6508 parecía estar buscando información valiosa vinculada con seguridad nacional. Entre los temas de interés detectados figuran la inteligencia artificial, los drones, la investigación cibernética ofensiva, la tecnología de defensa, los activos navales, entidades diplomáticas y gubernamentales, y unidades de comando militar.
La amplitud de objetivos sugiere una operación con prioridades más allá del robo oportunista de datos. La selección de blancos apunta a una recolección sistemática de inteligencia sobre sectores que hoy definen poder tecnológico, sanitario y militar.
REDCap bajo presión y el despliegue del malware InfiniteRed
Uno de los hallazgos más relevantes del informe es que los atacantes apuntaban de forma regular a servidores que alojan REDCap. Esa plataforma web se utiliza ampliamente para construir y gestionar bases de datos y encuestas de investigación clínica en el ámbito médico.
Google aclaró que no está completamente determinado cómo se obtuvo el acceso inicial a esos servidores. Sin embargo, la evidencia reunida apunta a que los actores podrían estar concentrándose en versiones antiguas y vulnerables del software.
Ese vector resulta especialmente delicado porque REDCap suele almacenar información muy sensible en entornos de investigación. Cuando una plataforma así queda desactualizada, puede transformarse en una puerta de entrada a expedientes, formularios, credenciales y comunicaciones internas.
En una de las intrusiones investigadas, los atacantes desplegaron un malware llamado InfiniteRed tres meses después del acceso inicial. Ese retraso sugiere una estrategia de permanencia y reconocimiento previo antes de activar herramientas más visibles dentro del entorno comprometido.
InfiniteRed fue descrito como una carga personalizada con capacidades de dropper, interceptación de actualizaciones, recolección de credenciales, puerta trasera y control de comando y control. Google indicó además que este malware fue detectado en sistemas de múltiples organizaciones de Estados Unidos y Canadá.
Robo de correos, ocultamiento y alcance de la operación
El análisis también encontró que los atacantes abusaron de una función legítima conocida como reglas de cumplimiento de contenido. Mediante ese mecanismo, lograron exfiltrar correos electrónicos relacionados con temas específicos sin recurrir necesariamente a métodos más ruidosos.
Ese detalle revela una táctica particularmente difícil de detectar, ya que parte del abuso se apoya en herramientas permitidas por la propia plataforma. En otras palabras, el espionaje puede quedar disfrazado como una configuración administrativa normal.
Google sostuvo que las reglas de cumplimiento creadas por los atacantes indicaban un interés que iba más allá de las entidades ya identificadas dentro de la comunidad de investigación médica. Eso amplía la lectura del caso y refuerza la hipótesis de una campaña con fines de inteligencia multisectorial.
Para ocultar sus actividades, UNC6508 aprovechó redes de ofuscación, cuentas adquiridas en masa, credenciales legítimas e infraestructura específica de operaciones. La combinación de estos elementos complica las tareas de atribución, respuesta y contención para los equipos defensivos.
Este tipo de técnicas encaja con una tendencia más amplia en ciberseguridad: en vez de “romper” sistemas de manera estridente, muchos actores avanzados prefieren “iniciar sesión” con accesos válidos, mimetizarse con usuarios reales y explotar funciones normales de administración.
Respuesta de Google y contexto estratégico
Google informó que interrumpió la infraestructura utilizada por el actor de amenazas y que notificó a las víctimas identificadas. La empresa también publicó detalles técnicos e indicadores de compromiso para ayudar a defensores y equipos de respuesta a incidentes.
La difusión de IoCs es una práctica clave en este tipo de casos, porque permite a otras organizaciones revisar registros, reglas de correo, accesos a servidores y rastros de malware. Cuando la campaña apunta a sectores críticos, el valor de esa alerta temprana se multiplica.
SecurityWeek reportó que UNC6508 ya había sido mencionado por Google en febrero, pero el nuevo análisis ofrece una imagen más completa del alcance de la operación. En especial, detalla la convergencia entre objetivos médicos, militares y tecnológicos en un mismo esfuerzo de espionaje.
Para lectores vinculados con IA, mercados y tecnología, el caso también importa por su trasfondo industrial. La investigación científica, los sistemas de salud y la defensa son fuentes de propiedad intelectual, ventaja competitiva y capacidad de Estado, tres activos cada vez más codiciados en la economía digital.
La lectura final es incómoda, pero clara. En un entorno donde la IA, la biomedicina y la infraestructura crítica se cruzan con la rivalidad geopolítica, los servidores desactualizados, las credenciales expuestas y las funciones mal configuradas pueden convertirse en piezas centrales de una disputa internacional silenciosa.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
IA
SpaceX desata fiebre minorista récord y marca tendencia en Wall Street
Empresas
SpaceX, xAI y Elon Musk: la apuesta por Marte, la Luna y centros de datos orbitales
IA
Anthropic rechaza supuesto jailbreak de Claude Fable 5 tras acusaciones de Pliny the Liberator
Canadá