Un groupe de cyberespionnage lié à la Chine a compromis des comptes administrateur de Google Workspace pour exfiltrer, pendant plus d’un an, des courriels de recherche médicale et de défense en Amérique du Nord. L’opération, révélée par le Google Threat Intelligence Group (GTIG) dans un rapport publié le 15 juin 2026, n’a exploité aucune faille technique. Les attaquants ont simplement détourné une fonctionnalité légale de la suite bureautique pour copier et rediriger des messages vers une adresse Gmail contrôlée par leurs soins, selon Futura Sciences.
Ce qu'il faut retenir
- Un groupe d’espionnage chinois, identifié sous le nom UNC6508, a siphonné des courriels sensibles pendant plus d’un an sans exploiter de faille technique.
- Les attaquants ont utilisé une règle d’administration légale de Google Workspace, nommée « Patriot » (avec une faute d’orthographe volontaire), pour rediriger automatiquement les messages vers une boîte mail externe.
- La technique repose sur les règles de conformité de contenu, un outil natif de Google Workspace permettant de filtrer et d’archiver les courriels en fonction de mots-clés prédéfinis.
- L’intrusion initiale a été possible via une compromission de serveurs REDCap, un logiciel de collecte de données de recherche clinique souvent exposé sur Internet.
- Google recommande aux administrateurs de vérifier régulièrement leurs règles de messagerie et d’activer une authentification à deux facteurs résistante au hameçonnage sur les comptes administrateur.
Une méthode d’exfiltration discrète et parfaitement légitime
Contrairement aux cyberattaques classiques qui reposent sur l’exploitation de vulnérabilités ou l’injection de logiciels malveillants, cette campagne a utilisé une fonctionnalité standard de Google Workspace pour détourner des messages. Les attaquants ont créé une règle d’administration intitulée « Patriot150 mots-clés liés à la recherche médicale, aux technologies avancées et aux sujets militaires.
Chaque courriel correspondant à ces critères était automatiquement envoyé en copie cachée (BCC) vers une adresse Gmail contrôlée par le groupe UNC6508. Aucune alerte n’a été déclenchée, car le processus fonctionnait exactement comme prévu par le système. « C’est ce qui distingue cette opération d’une intrusion classique », souligne le rapport du GTIG. Dans d’autres cas de cyberespionnage, comme la compromission de la Commission européenne via un outil piégé, c’est souvent le trafic réseau anormal qui finit par attirer l’attention.
Un accès initial obtenu via des serveurs REDCap vulnérables
Pour parvenir à leurs fins, les cybercriminels ont d’abord exploité des failles sur des serveurs REDCap (Research Electronic Data Capture), un logiciel largement utilisé dans le domaine de la recherche clinique. Bien que Google n’ait pas précisé la faille exacte exploitée, le groupe UNC6508 a été observé en train de sonder des versions obsolètes de ce logiciel, selon Futura Sciences.
Une fois ces serveurs compromis, les attaquants y ont installé un cheval de Troie sur mesure, baptisé Infinitered, conçu pour voler les identifiants de connexion des utilisateurs. Ces identifiants ont ensuite permis aux cyberespions d’accéder à un compte administrateur de Google Workspace, ouvrant la voie à la création de la règle « Patriot » et à l’exfiltration massive de courriels.
Google alerte les administrateurs sur les risques liés aux règles de messagerie
Dans un communiqué accompagnant le rapport, Google met en garde les administrateurs de Google Workspace contre les dangers liés aux règles de conformité de contenu. Ces outils, conçus pour faciliter la gestion des messages, peuvent être détournés à des fins malveillantes si leur configuration n’est pas surveillée de près.
Les recommandations du géant américain incluent :
- Un audit régulier des règles de redirection et de conformité pour détecter toute copie de messages vers des adresses externes ;
- La vérification des journaux d’audit, qui doivent indiquer non seulement le contenu des règles, mais aussi les modifications apportées ;
- L’activation d’une authentification à deux facteurs résistante au hameçonnage sur les comptes administrateur.
« Une règle de filtrage ou de transfert automatique, fonction banale de n’importe quelle messagerie, peut devenir un canal d’exfiltration discret », rappellent les experts. Auditer périodiquement les paramètres de son compte reste un réflexe simple, mais étrangement rare dans les organisations.
Un rappel sur l’importance de la cybersécurité proactive
Cette affaire illustre une tendance croissante dans le cyberespionnage : l’exploitation de fonctionnalités légitimes plutôt que de vulnérabilités techniques. Les organisations, qu’elles soient publiques ou privées, doivent désormais intégrer cette menace dans leurs stratégies de défense. Les règles de messagerie, les outils de collaboration cloud et les plateformes de gestion de données sont autant de cibles potentielles pour des attaques discrètes.
Les experts soulignent que la sécurisation des comptes administrateur et la limitation des droits d’accès restent des mesures essentielles. Une authentification renforcée et une surveillance accrue des configurations pourraient éviter de nouvelles compromissions. « Il ne suffit plus de se protéger contre les failles », rappelle un analyste en cybersécurité. « Il faut aussi s’assurer que les outils légitimes ne deviennent pas des armes entre les mains d’adversaires déterminés ».
Une règle d’administration de Google Workspace, comme celle utilisée dans cette campagne, permet de filtrer et de rediriger automatiquement des messages en fonction de mots-clés. Si cette fonction est détournée, elle peut copier des courriels sensibles vers une adresse externe sans déclencher d’alerte, car elle agit dans le cadre normal du système. C’est une méthode d’exfiltration particulièrement discrète, car elle ne repose pas sur une intrusion technique classique.
