Google affirme que des pirates informatiques chinois soupçonnés volent des données auprès d'institutions de recherche scientifique américaines et canadiennes depuis plus d'un an.

Google a révélé lundi qu'un groupe de pirates informatiques identifié comme ayant des liens avec la Chine avait secrètement envahi et volé des données dans plusieurs institutions de recherche scientifique aux États-Unis et au Canada pendant plus d'un an, ciblant des universités et des unités de recherche médicale et militaire. L’opération a duré de septembre 2023 à novembre 2025. Au cours de cette période, des pirates ont mené des activités de vol de renseignements dans les domaines du renseignement de défense, de la stratégie militaire dans la région indo-pacifique, de l’intelligence artificielle, des systèmes sans pilote, des projets de cyberguerre et de la recherche scientifique médicale.

L'équipe de renseignement sur les menaces de Google a déclaré dans son dernier rapport que les noms des organisations attaquées n'ont pas été rendus publics, mais que la portée de la recherche de ces unités va de la découverte de médicaments et des essais cliniques à la politique de santé publique et à la préparation militaire, impliquant des milliers de personnes et un budget de recherche scientifique combiné de plusieurs milliards de dollars. Google a attribué cette action à son groupe de hackers interne numéroté « UNC6508 », le qualifiant de groupe de cyberespionnage relativement nouveau mais peu connu. Son mode opératoire est tout à fait conforme aux techniques et aux objectifs des activités de piratage informatique classées depuis de nombreuses années comme « liées à la Chine », se concentrant sur les résultats des renseignements et des recherches soupçonnés de susciter l'intérêt du gouvernement chinois.

L'ambassade de Chine à Washington n'a pas immédiatement répondu à une demande de commentaire. Pékin a toujours nié avoir mené ou toléré des activités de piratage illégales, et lorsque des accusations similaires surviennent, il souligne généralement qu'il est également victime de cyberattaques, appelant tous les pays à relever les défis de la cybersécurité par le dialogue et la coopération.

L’enquête de Google montre que les premiers signes connus d’activité dans cette opération d’espionnage remontent à septembre 2023. À cette époque, les attaquants avaient exploité une faille de sécurité dans le serveur exécutant REDCap pour lancer l’intrusion. REDCap est une application Web largement utilisée dans les organisations à but non lucratif et est souvent utilisée pour créer et gérer des questionnaires en ligne et des bases de données de recherche scientifique. Les pirates ont utilisé des logiciels malveillants maison pour voler les identifiants de connexion REDCap légitimes, se faufiler dans le réseau cible sans déclencher d'alertes régulières, puis mettre en place un système automatisé pour transférer les e-mails contenant des mots-clés et des termes de recherche spécifiques vers le compte Gmail qu'ils contrôlaient afin de collecter en permanence des informations sensibles.

Le rapport souligne que les chercheurs de Google ont découvert que ces mots-clés et termes de recherche étaient près de 150, y compris les numéros de téléphone et les adresses e-mail de plusieurs membres du personnel de l'organisation attaquée, ainsi que des termes professionnels liés à la politique géostratégique, à la stratégie militaire, à la technologie de pointe et à la recherche médicale. Grâce à ce mécanisme, les pirates ont pu filtrer et exporter une grande quantité de communications électroniques étroitement liées à des questions de défense, de technologie et de médecine pendant plus d'un an. REDCap n'a pas répondu aux questions sur les attaques et les exploits.

Google a déclaré avoir finalement identifié un certain nombre d'organisations qui avaient été compromises aux États-Unis et au Canada et avoir notifié les unités concernées une par une pour les aider à identifier les chemins d'intrusion, à bloquer les vulnérabilités exploitées du système et à prendre des mesures de protection de suivi. Bien que l’organisation spécifique des victimes et les détails des pertes n’aient pas encore été divulgués, cet incident est considéré comme une autre opération d’infiltration à long terme ciblant la recherche scientifique de grande valeur et le renseignement de défense, soulignant l’augmentation continue des risques de cyberespionnage transnational dans les domaines universitaire, médical et militaire.