Google最新披露，一個被指與中國有關聯嘅網絡間諜組織，曾長時間潛伏美國同加拿大多間學術、醫療及軍事研究機構，搜集涉及人工智能、國防情報、印太軍事戰略、無人系統、網絡戰項目同醫學研究嘅敏感資料。事件再次顯示，中美科技同安全競爭，已經由晶片、AI模型同軍事部署，延伸到大學實驗室、醫院研究系統同公共衞生資料庫。

Google威脅情報小組 (Google Threat Intelligence Group, GTIG)日前，發表報告，將今次行動歸因於代號 UNC6508 嘅黑客組織。Google形容，UNC6508 係一個相對較新、外界認識唔多嘅網絡間諜行動群組，但其目標選擇同情報搜集方向，與過去多年被揭發嘅中國背景網絡行動有明顯相似之處，集中獲取可能符合中國政府戰略利益嘅資料。

根據Google透露，已知最早相關入侵可追溯至2023年9月，活動持續到2025年11月。受影響機構名稱未有公開，但Google指，目標包括北美醫學研究界、頂尖學術中心、軍事醫療機構、專業組織同衞生監管相關單位，研究範圍由藥物研發、臨床試驗、公共衞生政策，到軍事戰備同國防技術都有涉及。相關機構合共聘用數千人，研究預算總額以數十億美元計，反映被盯上嘅唔係一般資料，而係具長期科研同戰略價值嘅核心知識。

攻擊關鍵之一係 REDCap，即 Research Electronic Data Capture。呢套網絡應用程式廣泛用於醫療同科研機構，用嚟建立網上問卷、管理臨床研究數據同科研資料庫。Google指，UNC6508 一直針對對外開放嘅 REDCap 伺服器，並部署名為 INFINITERED 嘅自製惡意軟件。呢套工具可以偷取合法用戶嘅登入憑證，並透過改動 REDCap 合法系統檔案，喺系統升級後繼續保持潛伏能力。

不過，Google報告亦有一個重要保留：研究人員未能完全確認 UNC6508 最初如何取得 REDCap 伺服器入口。Google表示，攻擊者被觀察到會偵測目標系統入面仍然存在嘅舊版 REDCap，反映部分機構雖然更新主系統，但未有徹底移除舊版本，結果成為被利用嘅缺口。換言之，今次事件唔單止係黑客技術問題，亦暴露大型科研機構喺系統維護、身份管理同舊軟件清理上嘅長期風險。

更值得關注嘅，係黑客其後並非單純下載檔案，而係利用企業電郵系統嘅正常管理功能，建立一條隱蔽嘅情報管道。Google指，UNC6508 喺取得管理員權限後，建立一條名為「Patroit」嘅內容合規規則。呢條規則會自動掃描收發電郵，只要內容符合近150個關鍵詞、電郵地址或電話號碼模式，就會被靜默密送到攻擊者控制嘅 Gmail 帳戶。由於呢類規則本身係企業雲端辦公系統嘅合法功能，若管理員審核不足，資料外流可以長時間唔被一般用戶察覺。

Google表示，相關關鍵詞涵蓋地緣戰略政策、軍事戰略、先進技術、醫學研究、特定人員聯絡資料，以至與傳染病相關嘅研究項目。報告特別提到，部分字詞似乎有拼寫錯誤，顯示搜尋清單可能由人手維護，而非完全自動生成。對情報機關而言，呢種做法可以將龐大電郵流量過濾成具價值線索，長期追蹤研究方向、人員交流同敏感項目進展。

Google指，已發現美國同加拿大多個機構遭 INFINITERED 入侵，並已通知所有受影響機構，提供補救協助。公司亦表示，已停用被用作接收資料嘅 Gmail 帳戶，防止資料繼續外洩。Google建議相關機構加強管理員帳戶嘅雙重驗證、審查電郵合規規則、監察系統日誌、更新 REDCap，並徹底移除舊版本，避免攻擊者利用舊軟件作為跳板。

中國政府過去多次否認參與或支持非法網絡攻擊。北京一貫立場係反對黑客活動，並指網絡安全問題唔應該被政治化。不過，美國、加拿大同其他西方國家近年多次指控中國相關組織針對政府、電訊、軍工、科技同科研機構進行網絡間諜活動，今次Google報告無疑會令相關指控再升溫。

今次事件嘅敏感之處，唔只係有機構被入侵，而係目標橫跨醫療、AI、軍事同印太戰略。喺美國推動限制先進晶片、收緊AI模型出口、加強印太軍事部署嘅背景下，科研資料本身已經成為戰略資產。大學同醫療機構過去常被視為開放合作嘅知識平台，但喺大國競爭加劇之下，研究數據、實驗方向、合作名單同未公開成果，都可能變成情報戰嘅新戰場。