Un groupe d’espionnage lié à la Chine a siphonné pendant plus d’un an des courriels de recherche médicale et de défense en Amérique du Nord. Pour dérober les messages eux-mêmes, il n’a exploité aucune faille. Le Google Threat Intelligence Group (GTIG) a détaillé cette campagne dans un rapport publié le 15 juin 2026, qu’il attribue avec un haut degré de confiance à un acteur suivi sous le nom d’UNC6508. Son arme principale : une fonction parfaitement légitime de Google Workspace, détournée de son usage.
La technique repose sur les règles de conformité de contenu (content compliance rules), un outil natif des suites professionnelles comme Google Workspace. Un administrateur peut s’en servir pour analyser automatiquement les messages d’une organisation à la recherche de mots-clés, puis leur appliquer un traitement défini à l’avance, comme l’archivage ou la redirection. UNC6508 a créé une règle baptisée « Patroit », une faute d’orthographe sur « Patriot ». Elle scrutait les courriels selon près de 150 mots-clés liés à la recherche médicale, aux technologies avancées et aux sujets militaires. Chaque message correspondant était envoyé en copie cachée (BCC, pour blind carbon copy) vers une adresse Gmail contrôlée par les attaquants.
L’opération n’a déclenché aucune alerte, parce que la copie des courriels était assurée par une fonction du système fonctionnant exactement comme prévu. C’est ce qui la distingue d’une intrusion classique. Lors de la compromission de la Commission européenne via une version piégée de l’outil Trivy, le trafic réseau anormal avait fini par déclencher des alertes. Ici, rien de tel.
Pour en arriver là, l’acteur était d’abord entré par des serveurs REDCap (Research Electronic Data Capture), un logiciel de collecte de données de recherche clinique souvent exposé sur Internet.
Google n’a pas pu confirmer la faille d’entrée exacte ni nommer de référence CVE, mais a observé le groupe sonder d’anciennes versions vulnérables. Un cheval de Troie sur mesure, baptisé Infinitered, y récoltait les identifiants de connexion et survivait aux mises à jour. Ces identifiants ont ensuite ouvert l’accès à un compte administrateur, donc aux règles de Workspace. Le vol des courriels, lui, n’a exploité aucune vulnérabilité : un accès administrateur et une fonctionnalité standard ont suffi.
Les recommandations de Google visent les administrateurs. Il faut passer en revue les règles de conformité et de redirection qui copient des messages vers des adresses externes. Les journaux d’audit doivent préciser quand une règle a été modifiée, pas seulement ce qu’elle contient. Une authentification à deux facteurs résistante au hameçonnage (phishing) est conseillée sur les comptes administrateurs. Les serveurs REDCap doivent, eux, être mis à jour et leurs anciennes versions supprimées.
Une règle de filtrage ou de transfert automatique, fonction banale de n’importe quelle messagerie, peut devenir un canal d‘exfiltration discret. Auditer de temps en temps les règles de transfert de son propre compte reste un réflexe simple et étonnamment rare.
