Un’offensiva cibernetica senza precedenti, orchestrata da gruppi di hacker strettamente legati allo Stato cinese, ha sfruttato vulnerabilità critiche in Microsoft SharePoint, compromettendo centinaia di organizzazioni globali, inclusa la National Nuclear Security Administration statunitense.

L’attacco ha coinvolto anche l’Italia, il Regno Unito e la Francia, estendendosi a settori come i servizi finanziari e i beni di consumo.

La guerra cyber della Cina che sfrutta Microsoft Sharepoint

Questo attacco si inserisce in una “Guerra Liminale” di lungo corso, dove Pechino persegue il dominio cibernetico attraverso spionaggio politico, sabotaggio di infrastrutture critiche e furto sistematico di proprietà intellettuale su scala planetaria.

Il panorama geopolitico globale è sempre più definito dalla competizione per la supremazia tecnologica, e il cyberspazio è diventato un campo di battaglia cruciale dove le tensioni si manifestano in attacchi silenziosi ma devastanti. L’ultima ondata di offensive, orchestrata da gruppi di hacker strettamente legati allo stato cinese, ha colpito vulnerabilità critiche nel software SharePoint di Microsoft, compromettendo centinaia di organizzazioni governative e private in tutto il mondo. Questo incidente, che ha già violato oltre 400 entità, inclusa la cruciale National Nuclear Security Administration (NNSA) degli Stati Uniti, e ha allertato l’Agenzia per la Cybersicurezza Nazionale (ACN) italiana, non è un episodio isolato. È piuttosto l’ennesimo capitolo di una cyberwarfare prolungata e sempre più aggressiva che ridefinisce i confini della competizione tra Stati Uniti e Cina, dove il furto di segreti, l’ottenimento di vantaggi strategici e la destabilizzazione delle infrastrutture digitali sono diventati strumenti di potere.

Come rivelato dal nuovo rapporto “BEFORE VEGAS” di Eugenio Benincasa (CSS, ETH Zürich), la Cina ha compiuto una “ascesa fulminante” a potenza cibernetica globale, orchestrando un’aggressiva campagna di cyber spionaggio attraverso le sue agenzie di intelligence e i contractor privati. Questa realtà è stata confermata nel 2023 da Christopher Wray, allora direttore dell’FBI, che ha definito la strategia cinese “più grande di quella di ogni altra grande nazione combinata”.

La guerra liminale di Pechino

Non si tratta di una guerra convenzionale, ma di una “Guerra Liminale” – un conflitto incrementale e pervasivo, dove ogni settore, dalla politica all’economia, dalle infrastrutture critiche al furto di proprietà intellettuale, diventa un campo di battaglia globale. Al cuore di questa ambiziosa visione si trova l’evoluzione dei “red hackers” cinesi, noti come Honkers (红客, Hong Ke), le cui origini, trasformazioni e attuale integrazione con l’apparato statale sono state meticolosamente rivelate nel rapporto di Benincasa.

Pechino ha forgiato una dottrina di “Liminal Warfare” che integra spionaggio politico, sabotaggio di infrastrutture critiche e furto sistematico di proprietà intellettuale su scala planetaria. Questo programma, catalizzato dalle rivelazioni di Edward Snowden nel 2013 e dall’avvento di Xi Jinping, assorbe élite di cyber-talenti formati in un ecosistema sempre più sofisticato e militarizzato, rivelando la minaccia ubiqua e la volontà cinese di ridefinire gli equilibri globali attraverso il dominio cibernetico. La Cina impiega operazioni integrate di rete informatica, guerra elettronica, tattiche economiche, diplomatiche, legali, di intelligence, psicologiche, di inganno militare e di sicurezza per indebolire gli stati, renderli economicamente dipendenti da Pechino e più ricettivi a un nuovo ordine mondiale autoritario con distinte caratteristiche cinesi. Questo è coerente con la cosiddetta “Liminal Warfare,” una guerra incrementale dove lo spettro della competizione e del confronto con l’Occidente è così ampio che il campo di battaglia è ovunque e la guerra è totale, come descritto nel libro Unrestricted Warfare del 1999 da due colonnelli della PLA.

Precedenti attacchi hanno già dimostrato la sofisticazione e la portata delle operazioni cinesi. Tra i più noti, la violazione dei server Microsoft Exchange nel 2021, che ha compromesso oltre 250.000 server a livello globale e per la quale Microsoft ha identificato un gruppo sponsorizzato dal governo cinese noto come Silk Typhoon (o APT17), o il furto di migliaia di email di alti funzionari governativi statunitensi nel 2023. Questi attacchi non solo sottraggono dati preziosi, ma spesso consentono l’installazione di backdoor persistenti attraverso l’estrazione di chiavi crittografiche, garantendo agli aggressori un accesso a lungo termine ai sistemi compromessi. L’ultimo assalto a SharePoint si inserisce in questa scia, amplificando il senso di vulnerabilità e la percezione di una minaccia persistente e sistemica.

Mentre gli USA rimangono il Paese più colpito, l’Italia, il Regno Unito, la Francia e altri Paesi sono ormai nel raggio d’azione, in forte e rapida espansione, dei criminali informatici. Settori strategici come i servizi finanziari, i servizi alle imprese e i beni di consumo sono sempre più nel mirino.

Il dettaglio dell’attacco a SharePoint: la vulnerabilità e la rapidità dello sfruttamento

La complessa trama di questo attacco ha avuto inizio a maggio, quando il ricercatore vietnamita Dinh Ho Anh Khoa di Viettel ha messo in luce una vulnerabilità di SharePoint alla conferenza di sicurezza Pwn2Own a Berlino. Questo evento, che premia i ricercatori per la rivelazione etica di bug critici, ha fornito a Microsoft il tempo per preparare una risposta. L’azienda ha rilasciato una patch iniziale l’8 luglio, ma la correzione si è dimostrata gravemente inefficace, consentendo agli hacker di aggirarla con relativa facilità. Questo fallimento iniziale ha spalancato una finestra d’opportunità critica per gli attaccanti.

Il quadro si è ulteriormente complicato quando è emersa la sospetta tempistica delle violazioni. I membri del Microsoft Active Protection Program (MAPP) – un’iniziativa volta a fornire informazioni anticipate sulle vulnerabilità ai partner di sicurezza – erano stati informati dei bug il 24 giugno, il 3 luglio e il 7 luglio. Proprio il 7 luglio, Microsoft ha rilevato i primi tentativi di exploit da parte degli hacker cinesi, un giorno prima del rilascio pubblico delle patch. Questa stretta coincidenza temporale ha sollevato forti sospetti su una potenziale fuga di notizie dal MAPP, con Dustin Childs di Trend Micro (organizzatrice di Pwn2Own) che ha apertamente suggerito che “lo scenario più probabile è che qualcuno nel programma MAPP abbia utilizzato tali informazioni per creare gli exploits”. Se confermato, un simile tradimento all’interno di un programma di condivisione informazioni sensibili rappresenterebbe un colpo devastante per la fiducia e l’efficacia delle difese collettive, trasformando uno strumento di protezione in un’arma per gli avversari. Non sarebbe la prima volta: oltre un decennio fa, Microsoft espulse Hangzhou DPTech Technologies Co., Ltd., un’azienda cinese, dal programma per una violazione simile.

Le vulnerabilità sfruttate, identificate con la CVE-2025-53770, con un punteggio CVSS v3.x di 9.8 (critico), consentono agli aggressori di falsificare le credenziali di autenticazione ed eseguire codice arbitrario da remoto sui server. Questa vulnerabilità è causata da una deserializzazione di dati non attendibili all’interno del framework ASP.NET, utilizzato da SharePoint. L’attacco, che non richiede autenticazione, viene condotto tramite richieste HTTP di tipo POST verso la risorsa /_layouts/15/ToolPane.aspx?DisplayMode=Edit. Questa pagina, usata per visualizzare e modificare le Web Part di SharePoint, include un campo nascosto __VIEWSTATE che, se non adeguatamente firmato o validato, permette a un attaccante di sottomettere un payload malevolo. Una volta deserializzato dal server, questo payload consente l’esecuzione di codice arbitrario sul sistema. La disponibilità di un Proof of Concept (PoC) per questa vulnerabilità in rete ha accelerato ulteriormente la diffusione degli attacchi.

La portata e gli obiettivi dell’offensiva: chi è colpito e perché

La portata dell’attacco è sbalorditiva e continua a evolversi. La società olandese di sicurezza informatica Eye Security ha rivelato la vasta estensione della compromissione, rilevando “attività insolite” su un server SharePoint locale di un proprio cliente già la sera del 18 luglio. Una scansione successiva di oltre 8.000 server SharePoint accessibili pubblicamente in tutto il mondo ha rivelato decine di sistemi compromessi, confermando una “campagna coordinata di sfruttamento di massa”. La stragrande maggioranza delle vittime si trova negli Stati Uniti, un dato che sottolinea il carattere strategico e mirato di questa operazione di spionaggio.

Tra le vittime più critiche si annovera la National Nuclear Security Administration (NNSA), l’agenzia statunitense incaricata della supervisione delle armi nucleari. Questa compromissione, insieme a quella precedentemente confermata del Dipartimento dell’Energia, evidenzia una chiara intenzione da parte degli aggressori di colpire asset fondamentali per la sicurezza nazionale e l’infrastruttura critica americana. L’avvertimento di Eye Security che il numero delle vittime “potrebbe continuare ad aumentare con il progredire delle indagini” suona come un sinistro presagio, indicando una campagna ancora in corso.

Microsoft ha identificato tre gruppi di hacker che hanno attivamente sfruttato le vulnerabilità dei server SharePoint locali:

• Linen Typhoon. Questo gruppo, con il sostegno statale cinese, è notoriamente focalizzato sul furto di proprietà intellettuale. Dal 2012, ha preso di mira organizzazioni chiave nel settore governativo, della difesa, della pianificazione strategica e dei diritti umani. La sua persistenza e gli obiettivi riflettono la strategia a lungo termine della Cina di acquisire know-how tecnologico e vantaggi economici.
• Violet Typhoon. Anche questo attore, legato allo stato cinese, è dedicato allo spionaggio dal 2015. I suoi bersagli sono estremamente ampi e includono ex personale governativo e militare, organizzazioni non governative (ONG), think tank, istituzioni di istruzione superiore, media (digitali e cartacei), e settori finanziari e sanitari negli Stati Uniti, in Europa e nell’Asia orientale. Questo profilo di attacco indica un interesse a 360 gradi per la raccolta di intelligence su vasta scala, che può essere utilizzata per influenzare politiche, decisioni economiche e strategie avversarie.
• Storm-2603. Microsoft ha espresso un “livello di fiducia medio” sulla base cinese di questo terzo gruppo, pur non avendo ancora stabilito collegamenti diretti con altri noti autori di minacce cinesi. Ciò potrebbe indicare l’emergere di nuovi attori nel panorama cibernetico cinese o una deliberata strategia di diversificazione per eludere l’attribuzione.

La fragilità del “on-premise” e la risposta di Microsoft

Le vulnerabilità hanno colpito i server SharePoint locali (on-premise), ovvero le installazioni gestite direttamente dalle aziende e dalle agenzie, non il servizio cloud di Microsoft. Le versioni affette includono Microsoft SharePoint Server Subscription Edition, Microsoft SharePoint Server 2019 e Microsoft SharePoint Server 2016. Molte grandi organizzazioni, inclusi enti governativi e settori strategici, continuano a utilizzare SharePoint locale per l’archiviazione di documenti e la collaborazione, spesso per esigenze di conformità normativa, controllo interno sui dati o semplicemente per inerzia tecnologica. Questa scelta, tuttavia, espone a rischi significativi quando emergono vulnerabilità “zero-day” come queste, che possono essere sfruttate prima che le patch siano disponibili o installate.

Di fronte alla gravità della situazione, Microsoft ha rapidamente rilasciato aggiornamenti di sicurezza e ha esortato tutti gli utenti di sistemi SharePoint locali a installarli con urgenza. L’azienda ha anche raccomandato di modificare le chiavi crittografiche dei server, una misura cruciale per neutralizzare le “backdoor” create dagli aggressori. Microsoft ha avvertito, con “elevata sicurezza”, che i gruppi di hacker continueranno a prendere di mira i sistemi SharePoint locali che rimarranno privi di patch, sottolineando la persistenza della minaccia e la necessità di un’azione immediata da parte delle vittime.

Nonostante le critiche e le ripetute violazioni (come l’attacco al sistema di posta elettronica Exchange nel 2021 e il furto di email di funzionari governativi nel 2023), Microsoft ha ribadito il suo impegno per la sicurezza. Il CEO Satya Nadella ha lanciato la “Secure Future Initiative” per fare della sicurezza una priorità assoluta, e Ann Johnson, vicedirettore della sicurezza informatica di Microsoft, ha dichiarato che l’azienda è impegnata a “migliorare costantemente la risposta e le misure di sicurezza” nell’ambito di questa iniziativa. Tuttavia, la percezione pubblica e politica, soprattutto negli Stati Uniti, è che l’azienda non stia facendo abbastanza, concentrandosi eccessivamente sull’espansione del business nel cloud e nell’intelligenza artificiale a scapito della sicurezza fondamentale dei suoi prodotti.

L’Italia nel mirino: le raccomandazioni dell’ACN

In Italia, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha prontamente reagito, rilasciando il 25 luglio un alert dettagliato per mettere in guardia le organizzazioni e fornire indicazioni specifiche. Le raccomandazioni dell’ACN si allineano con quelle di Microsoft e di altre agenzie internazionali, ma offrono anche strumenti e procedure aggiuntive per la mitigazione e il rilevamento.

Il cyber power cinese: anatomia di una forza statale per il dominio digitale

Per comprendere appieno la portata di attacchi come quello a SharePoint, è fondamentale analizzare la dottrina e l’organizzazione del cyber power cinese. La Repubblica Popolare Cinese (RPC) ha lavorato costantemente per migliorare le sue capacità di cyberwarfare negli ultimi decenni, in particolare all’interno dell’ala armata del Partito Comunista Cinese (PCC), l’Esercito Popolare di Liberazione (PLA). L’obiettivo dichiarato del PCC è diventare una “cyber superpotenza” e la Cina è sulla buona strada per raggiungere tale obiettivo. I leader del PCC hanno una chiara comprensione del dominio cibernetico e di come utilizzarlo per raggiungere gli obiettivi strategici esistenti, in particolare quelli relativi alla sorveglianza interna, alla difesa, al dominio dell’informazione, alla crescita economica, agli standard tecnici e, soprattutto, alle capacità offensive. Il cyberspazio è un dominio prioritario nella retorica, nella regolamentazione e nell’azione della Cina.

Le radici degli “Honkers”: dal patriottismo autodidatta all’integrazione statale

La nascita della cultura hacker cinese, come documentato nel rapporto di Eugenio Benincasa, coincide con la connessione ufficiale della Cina a Internet il 20 aprile 1994, tramite una linea dedicata di trasmissione dati attraverso la società di telecomunicazioni statunitense Sprint. Pochi mesi dopo, China Telecom ha lanciato ChinaNet, inaugurando i servizi Internet pubblici. Le università, in particolare, hanno svolto un ruolo pionieristico, con la creazione nel 1994 di reti come la China Education and Research Network (CERNET) e la Chinese Academy of Sciences’ CSTNET, che hanno collegato le istituzioni accademiche e promosso la condivisione della conoscenza tra studenti e ricercatori, anni prima che l’accesso a Internet diventasse comune per il pubblico in generale. Questi ambienti universitari sono stati veri e propri “incubatori” per hacker, incoraggiando la sperimentazione tecnica e l’emergere di una cultura hacker nativa.

Inizialmente, questi hacker erano in gran parte autodidatti, appassionati di tecnologia che si riunivano su bacheche elettroniche (BBS) e primi siti web per scambiare suggerimenti su programmazione, sicurezza di rete e tecniche di hacking. Il vero punto di svolta, tuttavia, è avvenuto tra il 1998 e il 2001, un periodo segnato da una serie di “guerre cibernetiche patriottiche” che hanno cementato l’identità collettiva degli hacker cinesi. Incidenti come i violenti disordini contro le comunità cinesi in Indonesia nel 1998 e il bombardamento dell’Ambasciata cinese a Belgrado da parte degli Stati Uniti nel 1999 hanno scatenato ondate di nazionalismo e rabbia. In risposta, gli hacker cinesi si sono organizzati, creando il “Chinese Hacker Emergency Conference Center” (中国黑客紧急会议中心) e lanciando operazioni coordinate, inclusi attacchi di defacement e DoS contro obiettivi governativi indonesiani. L’evento di Belgrado, in particolare, ha portato alla rapida formazione della “Red Hacker Alliance” (RHA), un’ampia coalizione di gruppi tra cui l’Honker Union of China (HUC) e la Green Army. Il termine “Honker” (红客) è diventato un riferimento comune per gli hacktivisti patriottici, a tutt’oggi utilizzato per descrivere l’atto di hacking patriottico. Le loro attività erano largamente allineate con gli interessi geopolitici di Pechino, prendendo di mira entità negli Stati Uniti, a Taiwan e in Giappone.

Sebbene spesso si citino decine di migliaia di membri per queste organizzazioni, come gli asseriti 80.000 dell’Honker Union o i 3.000 della Green Army, il rapporto di Benincasa chiarisce che queste cifre mascheravano una distinzione cruciale tra un piccolo “nucleo” di membri attivi (Gong Wei (Goodwell), fondatore della Green Army, citò solo 40 membri centrali, mentre alcune fonti suggerivano che il nucleo dell’Honker Union consistesse di soli otto) e una base molto più ampia di utenti registrati sui forum. Questi membri del nucleo erano responsabili delle operazioni tecniche e delle decisioni strategiche, possedendo livelli di abilità tecnica significativamente più elevati.

L’evoluzione e la professionalizzazione: dal “learning by doing” all’ecosistema offensivo moderno

Nei primi anni 2000, in assenza di percorsi educativi formali per la cybersecurity, le università cinesi offrivano pochissimi programmi dedicati alla cybersecurity, e l’infrastruttura per la formazione pratica, come le competizioni Capture the Flag (CTF) o i programmi di bug bounty, era scarsa o assente. In questo vuoto istituzionale, i gruppi hacker sono diventati vere e proprie “accademie di formazione” di fatto. Collettivi come l’EvilOctal Security Team, la Green Army e la China Eagle Union hanno stabilito comunità strutturate e autogestite incentrate sulla collaborazione, la condivisione delle conoscenze e lo sviluppo delle competenze. Per molti, l’hacking di obiettivi reali era il mezzo principale per acquisire esperienza pratica. Una figura chiave in questa prima generazione fu l’hacker taiwanese Lin Zhenglong (林正龙), noto online come “coolfire”, il cui “Hacker Entry-Level Tutorial Series” (黑客入门教程系列) del 1995 divenne la prima risorsa di formazione strutturata in cinese, influenzando figure chiave come Wang Yingjian (Casper) di Xfocus e Gong Wei (Goodwell) della Green Army. La sua filosofia di “difesa attraverso l’offesa” — l’idea che padroneggiare le tecniche offensive fosse cruciale per comprendere e migliorare le proprie capacità difensive — e un codice etico informale focalizzato sull’apprendimento hanno plasmato una generazione.

Tra il 1997 e il 2002, la comunità hacker cinese ha iniziato a sviluppare i propri strumenti offensivi. Inizialmente dipendenti da malware stranieri come l’infame Trojan “Black Orifice” rilasciato a DEFCON nel 1998, gli hacker cinesi hanno creato “Glacier” (il primo Trojan di accesso remoto (RAT) domestico sviluppato da Huang Xin (glacier) nel 1999) e “X-Scan” (uno scanner di vulnerabilità di rete sviluppato nel 2000 da Huang Xin e Yang Yong (coolc), ancora oggi ampiamente utilizzato e lodato come “il frutto dell’ingegno di molti hacker in Cina”). Questi strumenti hanno abbassato la barriera d’ingresso per gli aspiranti hacker e hanno segnato una svolta, portando alla creazione di un distintivo ecosistema domestico e una rottura con la cultura hacker occidentale. Intorno alla metà degli anni 2000, si è verificato un passaggio verso lo sfruttamento delle vulnerabilità zero-day, segnalando l’emergere di un approccio distintamente cinese allo sviluppo di capacità cyber offensive.

L’identificazione dei talenti era spesso informale e guidata da reti personali. Conferenze come XCon, fondata nel 2002 da Wang Yingjian (casper) di Xfocus e modellata su eventi internazionali come DEFCON, sono diventate piattaforme cruciali per la dimostrazione delle competenze e il reclutamento informale. Anche le agenzie statali, come la PLA, hanno iniziato a utilizzare le competizioni di hacking per valutare e reclutare individui qualificati, come nel caso di Tan Dailin (wicked rose) nel 2005, reclutato dal Comando Militare del Sichuan per una competizione attacco-difesa. Il rapporto di Benincasa introduce il concetto dei “Red 40”, un gruppo di 40 individui influenti scelti tra i circa 200 membri centrali dei gruppi hacker più importanti. Questi individui hanno svolto ruoli significativi nell’evoluzione del panorama cyber cinese, fondando gruppi, lanciando campagne patriottiche e sviluppando strumenti chiave, prima di assumere posizioni di rilievo nel governo e nell’industria.

La fine dell’era dei gruppi Honker è stata graduale, influenzata da una combinazione di fattori: il declino degli attacchi su larga scala a motivazione politica, la dissoluzione o trasformazione di molti gruppi, il lancio delle prime iniziative commerciali e un inasprimento del quadro normativo cinese. Il governo cinese, che aveva inizialmente tollerato le attività degli Honkers, iniziò a mostrare disagio per la mancanza di supervisione e la potenziale imprevedibilità di queste azioni. Già nel maggio 2001, in seguito alla “Guerra Cibernetica” Cina-USA, il People’s Daily (人民日报), organo ufficiale del Partito Comunista Cinese, condannò le campagne dei giovani hacker come “imperdonabili” e simili al “terrorismo web”. Nel 2002, il capo della Internet Society of China rilasciò una dichiarazione che si opponeva formalmente alle operazioni cibernetiche lanciate da qualsiasi organizzazione o individuo “per qualsiasi ragione e in qualsiasi forma”.

Di fronte a queste pressioni, molti gruppi hanno iniziato a frammentarsi o reinventarsi. Il declino dell’attivismo hacker ha coinciso con l’ascesa dell’industria cinese del cybercrime, che si è espansa rapidamente a metà e fine degli anni 2000. In assenza di un’industria matura della cybersecurity, alcuni ex hacker patriottici si sono rivolti ad attività illecite, inclusa la vendita di malware, la commissione di frodi bancarie e truffe di gioco d’azzardo online. Questo periodo ha segnato una fase di transizione tra il declino dell’attivismo hacker di base e l’emergere di un’industria della cybersecurity più organizzata, che ha iniziato ad accelerare solo all’inizio degli anni 2010.

Un punto di svolta legale è arrivato con l’adozione nel 2009 da parte del Comitato Permanente dell’Assemblea Nazionale del Popolo (NPCSC) dell’Emendamento VII alla Legge Penale, che ha esteso le sanzioni per le intrusioni non autorizzate nei sistemi informatici, includendo disposizioni che miravano a coloro che fornivano strumenti che facilitavano tali intrusioni. Ciò ha portato alla chiusura di piattaforme come Black Hawk Security Network e all’arresto di figure chiave come Tan Dailin (wicked rose), fondatore del NCPH.

I membri dei “Red 40”, in questo contesto mutevole, si sono rivolti al mondo degli affari, cogliendo opportunità in un settore cinese della cybersecurity allora percepito come “debole” e “in deterioramento”. Molti hanno assunto ruoli chiave in aziende di cybersecurity affermate come Venustech e Topsec, o in giganti tecnologici come Baidu, Alibaba, Tencent e Huawei. Alcuni hanno fondato le proprie startup di cybersecurity, come NSFOCUS (fondata nel 2000 da Shen Jiye (沈继业), un ex membro della Green Army) e Knownsec (fondata nel 2007 da Zhao Wei (icbm), Yang Jilong (watercloud) e Fang Xing (flashsky), ex membri di 0x557 e Xfocus).

Allo stesso tempo, la collaborazione con le agenzie governative si è intensificata. Nel 2009, i diplomatici statunitensi hanno sollevato preoccupazioni che la RPC stesse “utilizzando i talenti del settore privato per rafforzare le sue capacità offensive e difensive di rete”¹⁸. Topsec e Venustech, tra le poche aziende di cybersecurity mature all’epoca, avevano stretti legami con la PLA e il Ministero della Sicurezza di Stato (MSS). Nel 2006, il gruppo Network Crack Program Hacker (NCPH), guidato da Tan Dailin (wicked rose), condusse una serie di campagne di cyber spionaggio di successo, probabilmente per conto della PLA. Questi “hackers-for-hire” venivano spesso pagati per completare le intrusioni.

La riorganizzazione militare e la fusione civile-militare

Sotto la leadership di Xi Jinping, la retorica e le capacità cinesi in materia di cybersecurity e cyberwarfare sono state drasticamente escalate. Xi ha riorganizzato completamente la PLA, ridimensionando l’esercito basato su terra per creare una Forza di Supporto Strategico (SSF), focalizzata su cyber, spazio e guerra elettronica. Formata durante la riorganizzazione della PLA del 2016, la SSF ha il mandato, l’organizzazione e le capacità combinate per condurre operazioni strategiche di cyberwarfare a strati, al fine di negare, distruggere, interrompere e degradare le infrastrutture critiche di un avversario, perseguendo effetti politici e sociali più ampi. Questa riorganizzazione ha accelerato un cambiamento nella postura militare dalla protezione territoriale basata su terra alla proiezione di potenza estesa, con forze congiunte e tecnologia come abilitatori chiave.

A complemento della nuova forza congiunta, Xi ha promosso una strategia di fusione militare-civile (MCF), ristrutturando l’impresa scientifica e tecnologica cinese per innovare simultaneamente per lo sviluppo economico e militare. Questa strategia permette a un gran numero di entità commerciali civili, come Baidu e Alibaba, di partecipare a ricerca e sviluppo militari classificati. I contraenti cinesi si sono anche impegnati direttamente in operazioni cibernetiche per il governo cinese. Aziende cinesi di telecomunicazioni e infrastrutture come Huawei sono state implicate in passato in presunte campagne di spionaggio cibernetico cinesi. Questa integrazione civile-militare è ciò che distingue il cyber power cinese da quello occidentale.

Attori chiave e metodologie di attacco: la stratificazione dello spionaggio cinese

Le indagini sulle intrusioni più recenti hanno rafforzato la convinzione che dietro almeno alcuni degli attacchi iniziali si celino hacker legati al governo cinese. Charles Carmakal, CTO di Mandiant Consulting (una divisione di Google Cloud), ha dichiarato inequivocabilmente: “Riteniamo che almeno uno degli attori responsabili di questo sfruttamento precoce sia un attore di minacce connesso alla Cina”. Questa valutazione è supportata da ulteriori prove, con investigatori federali che hanno riscontrato connessioni da server SharePoint compromessi negli Stati Uniti verso indirizzi IP in Cina. L’interesse di attori statali, in particolare quelli legati al governo cinese, spesso riguarda lo spionaggio industriale, il furto di proprietà intellettuale e la raccolta di informazioni governative sensibili.

Il governo cinese coordina attivamente operazioni di cyber spionaggio attraverso le sue agenzie di intelligence, principalmente il Ministero della Sicurezza di Stato (MSS) e la PLA, facendo sempre più uso di contractor privati. Mandiant Threat Intelligence afferma che dal 2016, la tecnologia utilizzata dai gruppi di cyber spionaggio affiliati alla Cina si è costantemente evoluta, diventando più furtiva e agile. Le operazioni di cyber spionaggio di Pechino sono condotte sia dal MSS che dal PLA, ma differiscono per ambito geografico, allineamento operativo e vittime.

• Spionaggio politico e sorveglianza (MSS). Le operazioni di cyber spionaggio politico e di sorveglianza cinesi sono principalmente collegate al Ministero della Sicurezza di Stato (MSS), il servizio di intelligence estera cinese³⁴. L’anno scorso è emerso che un gruppo di hacker cinesi, soprannominato
• Salt Typhoon, ha violato almeno nove compagnie telefoniche americane, ottenendo accesso a chiamate e messaggi di alti funzionari. Ciaran Martin, ex capo dell’agenzia britannica per la cyber difesa, ha paragonato questa operazione alle rivelazioni di Edward Snowden del 2013, definendola “un’operazione di spionaggio strategico di un’audacia mozzafiato”. Secondo Google Threat Intelligence Group, la Cina sta aumentando le sue operazioni di spionaggio combinando il dispiegamento di ransomware con la raccolta di intelligence. Questa “miscelazione” deliberata serve a confondere l’attribuzione, mascherando le attività di cyber spionaggio dietro operazioni di ransomware.
• APT41 si ritiene operi dalla Cina ed è “molto probabilmente un contractor del Ministero della Sicurezza di Stato”, con una lunga storia di operazioni finanziariamente motivate, concentrate principalmente sull’industria dei videogiochi. Mandiant ha osservato che uno dei gruppi di cyber spionaggio cinesi più prolifici, APT41, aveva condotto una campagna su larga scala sfruttando vulnerabilità in dispositivi di rete aziendali e di gestione degli endpoint da Citrix, Cisco e Zoho, prendendo di mira con successo più di 75 aziende in oltre 20 paesi, con operazioni che vanno dall’aerospaziale e difesa ai prodotti farmaceutici, energia e servizi di pubblica utilità.
• Sabotaggio infrastrutture critiche (PLA). Nell’ambito della guerra elettronica, l’hacking viene utilizzato per il sabotaggio in tempi di crisi o guerra. Questi sforzi sono guidati dall’Esercito Popolare di Liberazione (PLA). Nel 2023, è stato scoperto che un gruppo di hacker collegato, noto come Volt Typhoon, ha penetrato un’incredibile varietà di infrastrutture critiche americane per diversi anni, dai porti alle fabbriche, agli impianti di trattamento delle acque, negli Stati Uniti continentali e in territori strategici come Guam. Ciaran Martin ha affermato che “Volt Typhoon è un’operazione militare con scopi strategici politici e potenzialmente militari”, gestita dall’unità cibernetica del PLA, che prevede l’inserimento di impianti preparatori – “trappole digitali” – in ogni tipo di infrastruttura critica americana.
• Furto proprietà intellettuale. Il canale più dannoso per il furto di proprietà intellettuale è il cyber spionaggio. Le intrusioni cibernetiche consentono alle aziende cinesi, in alcuni casi agendo sotto la direzione del PCC o con l’assistenza del governo (cosiddetto cyber spionaggio di Stato), di accedere a informazioni sulle operazioni proprietarie delle aziende straniere e sulle informazioni di finanziamento dei progetti, oltre a rubare IP e tecnologia. La Cina utilizza campagne di cyber spionaggio coordinate e supportate dal governo per rubare informazioni da una varietà di aziende commerciali straniere, incluse quelle nei settori petrolifero ed energetico, siderurgico e aeronautico.

Ciò che distingue l’attività di cyber spionaggio della Cina da quella di altri stati è l’interesse nazionale perseguito e la portata delle sue operazioni. Mandiant ritiene che i gruppi cinesi legati allo stato che conducono compromissioni sfruttino più zero-day e siano numericamente più grandi di quelli di altri stati. Gli attori cinesi utilizzano una varietà di “vettori di accesso iniziale” come phishing tramite e-mail e social engineering, compromissione web strategica e SQL injection. Hanno anche sfruttato efficacemente le compromissioni zero-day nel 2020/2021 più di qualsiasi altro stato.

Un ulteriore elemento di preoccupazione è la conferma da parte del Threat Intelligence Group di Google di aver osservato hacker che installano web shell e rubano segreti crittografici dai server delle vittime. Questo è un segnale inequivocabile della gravità delle violazioni e del potenziale per accessi futuri e duraturi. L’estrazione di chiavi crittografiche, come già osservato in precedenti attacchi, consente agli hacker di installare backdoor persistenti, garantendo loro un accesso non autorizzato a lungo termine ai sistemi compromessi.

Nonostante l’attenzione iniziale sui gruppi legati a stati-nazione, è cruciale comprendere che molteplici attori stanno ora attivamente sfruttando questa vulnerabilità. Carmakal ha avvertito che questa tendenza è destinata a continuare, con vari altri attori di minacce, mossi da diverse motivazioni, che cercheranno di sfruttare l’exploit. Tra questi, si ipotizza la presenza di attori a scopo di lucro, interessati a rubare segreti aziendali o a distribuire ransomware, ampliando ulteriormente la minaccia.

Offensive cyber capabilities e disprezzo per le norme

La Cina è un avversario pari nel cyberspazio, con capacità offensive che rivaleggiano o superano quelle degli Stati Uniti. Il paese dimostra un chiaro sviluppo di capacità asimmetriche che le consentono di raggiungere obiettivi strategici. Queste capacità, che gli Stati Uniti sono attualmente limitati a sviluppare a causa di leggi internazionali o nazionali, includono l’uso del settore privato per le operazioni cibernetiche e un palese disprezzo per qualsiasi sforzo di “name and shame”.

Gli hacker in Cina trovano vulnerabilità nel software statunitense a un ritmo allarmante, e la Cina sfrutta attivamente queste vulnerabilità nelle sue operazioni cibernetiche prima che possano essere corrette. Ogni anno, la Cina tiene una competizione di hacking, la Tianfu Cup, dove i migliori hacker scoprono vulnerabilità. Tuttavia, a differenza di concorsi equivalenti altrove che comunemente rivelano i difetti direttamente alle aziende interessate, i difetti trovati nelle competizioni di hacking cinesi vengono consegnati al governo cinese prima che le aziende ne vengano a conoscenza. Ad esempio, un difetto nel software Apple segnalato alla Tianfu Cup nel 2018 è stato utilizzato in campagne di spionaggio cibernetico cinesi per due mesi prima che la vulnerabilità fosse scoperta e corretta. Nel 2021, la Tianfu Cup ha segnalato 30 dimostrazioni di successo che sfruttavano nuove vulnerabilità in prodotti software statunitensi, inclusi Windows 10, Apple iOS, Safari e Chrome. Questo è stato il 40% in più rispetto al numero di dimostrazioni di successo a Pwn2Own, una competizione internazionale equivalente, nello stesso anno.

Inoltre, le aziende cinesi sono penalizzate quando rivelano vulnerabilità ai fornitori senza prima consultare il governo cinese. L’esempio più eclatante è il caso di Log4j, una delle vulnerabilità più gravi degli ultimi decenni: un ingegnere di Alibaba che ha segnalato il difetto direttamente ad Apache (il fornitore statunitense) invece che al governo cinese, ha visto la sua azienda subire una sospensione della partnership di condivisione delle informazioni per sei mesi e citare la divulgazione impropria di Log4j come motivo principale. Questo dimostra il ferreo controllo statale sulla scoperta e divulgazione delle vulnerabilità, a vantaggio delle proprie operazioni offensive.

Controllo dell’informazione e operazioni di influenza

Xi Jinping ha anche sottolineato l’importanza del “discourse power” e del dominio dell’informazione nel cyberspazio. Questo è un marcato spostamento di priorità dalla censura interna al controllo globale dell’informazione. Le operazioni informative provenienti dalla Cina sono state strategicamente reindirizzate verso l’Occidente negli ultimi due anni per seminare discordia e proiettare potenza all’estero. L’apparato di propaganda cinese sta tentando di produrre contenuti mirati che promuovano narrazioni pro-Cina in Occidente, specificamente per i “giovani internazionali” , e ha assunto una società di consulenza del New Jersey per diffondere contenuti pro-Pechino per le Olimpiadi del 2022 tramite influencer online.

TikTok, una popolare app di social media cinese, censura attivamente i contenuti sfavorevoli a Pechino. La Cina ha anche una vasta rete di propaganda occulta che conduce operazioni di disinformazione sui social media, la quale ha iniziato a sviluppare una portata internazionale misurabile.

Il ruolo fondamentale delle università nel cyber-spionaggio cinese

Le università cinesi collaborano attivamente con la PLA e l’MSS per condurre operazioni di cyber spionaggio sponsorizzate dallo Stato. Shanghai Jiao Tong University aiuta a condurre operazioni per le forze armate cinesi. Zhejiang University e l’Harbin Institute of Technology sono luoghi di reclutamento per hacker cinesi. Xidian University fornisce ai suoi studenti esperienza pratica presso un ufficio provinciale dell’MSS e aveva anche una relazione con il Terzo Dipartimento dello Stato Maggiore del PLA prima di essere riorganizzata nel Dipartimento dei Sistemi di Rete nel 2015; il suo programma di laurea è amministrato congiuntamente con l’Ufficio del Guangdong del China Information Technology Security and Evaluation Center (o Guangdong ITSEC), un ufficio dell’MSS che gestisce una prolifica squadra di contractor nel campo dell’hacking.

La Southeast University ha una relazione di lunga data con i servizi di sicurezza e gestisce congiuntamente il Purple Mountain Lab con la PLA Strategic Support Force, dove i ricercatori lavorano insieme su “importanti requisiti strategici”, sistemi operativi di computer e ricerca interdisciplinare sulla cybersecurity. L’università riceve anche finanziamenti dalla PLA e dall’MSS per supportare lo sviluppo delle capacità cibernetiche cinesi. Il programma di laurea in cybersecurity della Shanghai Jiaotong University (SJTU) è insegnato in una base di ingegneria informatica del PLA; il suo Cyberspace Security Science and Technology Research Institute, sede del programma Network Confrontation and Information System Security Testing, conduce ricerche che consentono operazioni cibernetiche. I partner universitari del MSS nel reclutamento di talenti includono China University of Science and Technology, Xi’an Jiaotong University, Beijing Institute of Technology, Nanjing University e Harbin Institute of Technology. Alcune aziende cinesi di cybersecurity, come Beijing TopSec, cooperano con la PLA in campagne di intelligence, hacking, formazione di operatori e educazione di futuri hacker.

L’impatto globale del cyber spionaggio cinese e i costi per l’Occidente

Tali intrusioni cibernetiche costituiscono una minaccia fondamentale per la competitività economica e la sicurezza nazionale degli stati colpiti. Nel giugno 2024, l’Agenzia Olandese di Intelligence Militare (MIVD) ha dichiarato che il cyber spionaggio cinese è più esteso di quanto inizialmente pensato e sta prendendo di mira i governi occidentali e le aziende di difesa. La MIVD ha specificamente dichiarato che un gruppo di hacker sostenuto dallo stato cinese, responsabile di un attacco cibernetico al Ministero della Difesa olandese nel 2023, ha causato almeno 20.000 vittime in tutto il mondo in pochi mesi, e probabilmente molte di più. Nel 2018, l’Agenzia Nazionale Ceca per la Cyber e la Sicurezza delle Informazioni (NUKIB) ha emesso un avviso pubblico sui rischi per la cybersecurity relativi alla Cina. Da allora, il paese ha sviluppato uno dei meccanismi più rigorosi di screening degli investimenti esteri diretti e significative capacità di cybersecurity contro Pechino.

Secondo i procuratori statunitensi, decine di parlamentari europei sono stati bersaglio di cyberattacchi cinesi negli anni recenti. Nel marzo 2024, il Dipartimento di Giustizia degli Stati Uniti ha emesso un’accusa che afferma che hacker cinesi con legami con l’agenzia di spionaggio della nazione, il Ministero della Sicurezza di Stato (MSS), hanno preso di mira “ogni membro dell’Unione Europea” dell’Inter-Parliamentary Alliance on China (IPAC), una coalizione di legislatori critici nei confronti di Pechino. Secondo l’accusa, nel 2021, gli hacker hanno inviato “più di 1.000 email a più di 400 account unici di individui associati all’IPAC” nel tentativo di raccogliere dati sull’attività internet e sui dispositivi digitali dei membri.

Prospettive geopolitiche e implicazioni future della cyberwarfare

In conclusione, l’attacco a SharePoint da parte di attori legati alla Cina è un potente promemoria che la cyberwarfare non è una minaccia futuristica, ma una realtà presente e in continua evoluzione, che influisce direttamente sulla sicurezza nazionale, l’economia globale e le relazioni internazionali.

La vulnerabilità di un software ampiamente utilizzato come SharePoint serve da monito per la necessità di una vigilanza costante, di investimenti massicci nella sicurezza e di una cooperazione internazionale, anche se la fiducia tra le superpotenze è ai minimi storici.

Le dettagliate indicazioni dell’ACN per le organizzazioni italiane sottolineano l’urgenza e la serietà della minaccia anche a livello nazionale, posizionando l’Italia come parte attiva nella difesa del fronte cibernetico occidentale. La capacità cinese di integrare sforzi statali, militari e civili nel cyberspazio rappresenta una sfida sistemica per le democrazie occidentali, che devono rafforzare le proprie difese e adattare le proprie strategie a un panorama di minacce in costante evoluzione.