Hacker China Manfaatkan Google Workspace untuk Spionase

Sebuah kampanye spionase siber yang diduga kuat dilakukan oleh kelompok peretas yang terkait dengan China berhasil menarik perhatian komunitas keamanan siber global. Kelompok tersebut diketahui menyusup ke sejumlah organisasi medis, akademik, dan penelitian pertahanan di Amerika Utara, lalu diam-diam mencuri email berisi informasi sensitif selama lebih dari satu tahun.

Yang membuat kasus ini berbeda dari serangan siber pada umumnya adalah metode yang digunakan untuk mencuri data. Alih-alih mengandalkan malware pencuri data yang rumit atau mengirimkan file hasil curian ke server khusus, para pelaku justru memanfaatkan fitur bawaan Google Workspace yang sah untuk menyalin email korban ke akun yang mereka kendalikan.

Temuan ini diungkap oleh Google Threat Intelligence Group (GTIG) dalam laporan terbarunya. Tim intelijen keamanan Google menyatakan dengan tingkat keyakinan tinggi bahwa aktivitas tersebut dilakukan oleh kelompok yang mereka lacak dengan nama UNC6508, sebuah aktor ancaman yang sebelumnya juga dikaitkan dengan operasi spionase yang menargetkan sektor pertahanan.

Menargetkan Institusi Medis dan Penelitian

Menurut laporan Google, para korban berasal dari berbagai organisasi di Amerika Serikat dan Kanada. Mereka mencakup penyedia layanan kesehatan, pusat penelitian akademik, institusi kesehatan militer, kelompok advokasi, hingga lembaga regulator kesehatan.

Meski Google tidak mengungkap identitas para korban, perusahaan menyatakan telah memberi tahu organisasi yang terdampak serta mengambil langkah untuk mengganggu infrastruktur yang digunakan kelompok peretas tersebut.

Aktivitas spionase ini diyakini berlangsung cukup lama. Google menemukan indikasi bahwa kompromi pertama terjadi pada September 2023 dan berlanjut hingga November 2025. Selama periode tersebut, para pelaku berhasil mengumpulkan berbagai informasi yang berkaitan dengan penelitian medis, teknologi canggih, hingga isu pertahanan dan keamanan nasional.

REDCap Jadi Titik Masuk Utama

Investigasi Google menemukan bahwa titik awal serangan berasal dari platform REDCap (Research Electronic Data Capture). REDCap merupakan aplikasi berbasis web yang banyak digunakan oleh rumah sakit, universitas, dan lembaga penelitian untuk mengelola data penelitian serta studi klinis.

Kelompok UNC6508 diketahui berhasil mengompromikan server REDCap yang terhubung langsung ke internet. Meskipun Google belum dapat memastikan teknik awal yang digunakan untuk menembus server tersebut, para peneliti menemukan bahwa pelaku secara aktif mencari dan memindai instalasi REDCap versi lama yang memiliki kerentanan keamanan.

Setelah berhasil mendapatkan akses, para pelaku tidak langsung melakukan pencurian data. Mereka terlebih dahulu membangun pijakan yang kuat di dalam sistem korban.

Sekitar tiga bulan setelah kompromi awal, kelompok tersebut memasang malware khusus yang diberi nama INFINITERED. Malware ini dirancang secara khusus untuk menyusup ke dalam sistem REDCap dan bertahan dalam jangka panjang tanpa mudah terdeteksi.

INFINITERED memiliki beberapa kemampuan berbahaya. Pertama, malware ini mampu memodifikasi proses pembaruan perangkat lunak sehingga setiap kali administrator memperbarui REDCap, kode berbahaya akan otomatis dipasang kembali.

Kedua, malware tersebut dapat mencuri nama pengguna dan kata sandi yang dimasukkan melalui halaman login. Kredensial yang berhasil dicuri kemudian disimpan dalam basis data lokal dalam bentuk terenkripsi. Ketiga, malware berfungsi sebagai backdoor atau pintu belakang yang memungkinkan peretas menjalankan berbagai perintah dari jarak jauh melalui mekanisme cookie HTTP.

Kemampuan tersebut membuat para pelaku dapat mempertahankan akses ke sistem korban dalam waktu lama tanpa menimbulkan kecurigaan.

Mencari Jalan Menuju Akun Administrator

Setelah menguasai server REDCap, UNC6508 melakukan serangkaian aktivitas pengintaian di dalam jaringan korban. Mereka mencari informasi mengenai struktur jaringan, akun pengguna, serta kredensial yang dapat digunakan untuk memperluas akses.

Google menemukan bahwa kelompok ini berhasil memperoleh kredensial basis data dan akun layanan yang kemudian digunakan untuk bergerak secara lateral ke berbagai sistem internal. Pada akhirnya, para pelaku berhasil memperoleh hak akses administrator domain, yaitu tingkat akses tertinggi dalam lingkungan TI organisasi.

Meski Google tidak menjelaskan secara rinci bagaimana proses eskalasi hak akses tersebut terjadi, akses administrator menjadi kunci keberhasilan operasi spionase yang mereka jalankan. Dengan hak akses tersebut, para peretas tidak lagi perlu memasang malware tambahan untuk mencuri email. Mereka cukup memanfaatkan fitur yang sudah tersedia di lingkungan Google Workspace.

Memanfaatkan Fitur Sah Google Workspace

Salah satu temuan paling menarik dalam laporan GTIG adalah cara kelompok UNC6508 melakukan pencurian email.

Para pelaku menyalahgunakan fitur Content Compliance Rules yang tersedia dalam Google Workspace. Fitur ini sebenarnya dirancang untuk membantu administrator memantau dan mengelola email berdasarkan aturan tertentu, misalnya untuk kepatuhan regulasi atau perlindungan data sensitif.

Namun, fitur tersebut justru dimanfaatkan sebagai alat spionase. Kelompok UNC6508 membuat sebuah aturan bernama "Patroit", yang diduga merupakan salah ketik dari kata "Patriot". Aturan ini dikonfigurasi untuk memantau hampir 150 kata kunci, istilah pencarian, serta alamat email tertentu.

Setiap kali sistem menemukan email yang sesuai dengan daftar tersebut, Google Workspace secara otomatis membuat salinan email melalui mekanisme Blind Carbon Copy (BCC) dan mengirimkannya ke akun Gmail yang dikendalikan para pelaku.

Karena seluruh proses berlangsung menggunakan fitur bawaan platform email, aktivitas tersebut nyaris tidak menimbulkan tanda-tanda mencurigakan. Tidak ada malware pada server email, tidak ada perangkat lunak khusus untuk mencuri data, dan tidak ada lalu lintas jaringan aneh yang biasanya menjadi indikator kebocoran data.

Bagi tim keamanan, aktivitas tersebut tampak seperti konfigurasi normal yang dilakukan oleh administrator.

Google menyebut teknik ini sebagai evolusi baru dalam praktik spionase siber. Meskipun penyalahgunaan aturan penerusan email telah lama dikenal dan bahkan tercatat dalam kerangka kerja MITRE ATT&CK, penggunaan aturan Content Compliance tingkat domain oleh kelompok yang terkait dengan China belum pernah ditemukan sebelumnya.

Fokus pada Informasi Strategis

Daftar kata kunci yang digunakan dalam aturan "Patroit" menunjukkan jenis informasi yang menjadi target utama operasi ini.

Google menemukan bahwa para pelaku tertarik pada berbagai topik strategis, termasuk kebijakan geopolitik, strategi militer, peralatan pertahanan, teknologi canggih seperti kecerdasan buatan (AI), kendaraan tanpa awak, program operasi siber ofensif, hingga penelitian medis.

Salah satu kata kunci yang cukup menarik perhatian adalah "chikungunya", penyakit yang ditularkan oleh nyamuk dan sempat menyebabkan wabah di Provinsi Guangdong, China, pada tahun 2025. Temuan ini menunjukkan bahwa operasi tersebut tidak hanya berfokus pada isu pertahanan, tetapi juga mencakup bidang kesehatan dan penelitian ilmiah yang memiliki nilai strategis tinggi.

Langkah Pencegahan yang Disarankan

Google mengimbau seluruh organisasi yang menggunakan REDCap untuk segera melakukan pemeriksaan keamanan secara menyeluruh.

Langkah pertama adalah memastikan seluruh server REDCap yang dapat diakses dari internet telah diperbarui ke versi terbaru. Selain itu, versi lama yang masih tersimpan di server sebaiknya dihapus sepenuhnya untuk mencegah serangan downgrade yang memanfaatkan perangkat lunak rentan.

Di sisi layanan email, organisasi juga perlu melakukan audit terhadap seluruh aturan Content Compliance dan mail forwarding yang aktif. Administrator harus memastikan tidak ada aturan yang diam-diam menyalin atau mengalihkan email ke alamat eksternal yang tidak sah.

Pemeriksaan log audit juga menjadi langkah penting untuk mengetahui kapan aturan tertentu dibuat, diubah, atau dihapus. Google turut merekomendasikan penggunaan indikator kompromi (IOC) yang telah dipublikasikan GTIG untuk mendeteksi keberadaan malware INFINITERED di lingkungan organisasi. Selain itu, penerapan Multi-Factor Authentication (MFA) yang tahan terhadap serangan phishing pada seluruh akun administrator dinilai sebagai langkah perlindungan yang sangat penting.

Kasus UNC6508 menjadi pengingat bahwa ancaman siber modern tidak selalu datang dalam bentuk malware yang mencolok atau serangan yang mudah dikenali. Ketika peretas berhasil memperoleh hak akses administrator, fitur-fitur sah yang tersedia di platform cloud dapat berubah menjadi alat spionase yang sangat efektif.

Karena itu, organisasi tidak hanya perlu fokus pada pencarian malware dan kerentanan sistem, tetapi juga harus secara rutin mengaudit konfigurasi layanan cloud dan email yang mereka gunakan. Dalam era digital saat ini, satu aturan email yang tampak biasa saja dapat menjadi pintu bagi pencurian informasi paling rahasia sebuah organisasi.