谷歌披露中国黑客长期入侵美加研究机构

谷歌近日披露，一个与中国有关的黑客组织在过去一年多时间里，持续入侵美国和加拿大的学术、医疗及军事研究机构，秘密窃取数据，直到最近才被发现。

根据路透社报道，谷歌威胁情报团队将此次行动归因于一个相对较新的网络间谍组织，代号UNC6508。该行动从2023年9月持续到2025年11月。在此期间，黑客试图获取与国防情报、印太地区军事战略、人工智能、无人驾驶车辆、网络战项目以及医疗研究相关的信息。

行动内幕

The Register报道称，最早的可查入侵发生在2023年9月，UNC6508通过北美一家医学研究机构的REDCap服务器渗透进入。此后，他们部署了定制恶意软件，并访问Gmail收件箱以窃取敏感数据。谷歌最终识别出多个被入侵的组织，并逐一通知了它们。

谷歌威胁情报团队研究员Luke McNamara表示，UNC6508在网络间谍领域是一个相对较新的参与者。谷歌在2026年2月关于国防工业基础威胁的报告中曾提到该组织，指出其曾利用多阶段攻击手法，通过REDCap服务器针对一家美国研究机构。

中国网络行动的广泛模式

此次披露发生前，CrowdStrike发布了《2026年技术威胁态势报告》，发现与中国相关的实体在国家支持的网络攻击中占比超过58%，尤其针对AI资产。路透社报道称，CrowdStrike将中国背景黑客称为过去一年对科技公司的“首要间谍威胁”。

CrowdStrike在报告中写道：“与中国有关的对手正在加强对科技组织的间谍活动，以获取他们无法快速自主研发的AI能力和知识产权。”

针对研究与创新的威胁升级

两份报告共同凸显出，北京背景的行为者正加大力度攻击持有宝贵知识产权和战略研究的组织。谷歌2026年2月报告发现，在国防和航空航天领域，中国相关组织是持续活跃度最高的威胁行为者。CrowdStrike则指出，黑客通过利用现有漏洞，在北美的科技组织中保持了“持续访问”。