Un silenzioso ma implacabile assalto cibernetico sta ridefinendo le dinamiche del potere globale, con la Cina al centro di una strategia digitale che Christopher Wray, allora direttore dell’FBI, ha definito nel 2023 “più grande di quella di ogni altra grande nazione messa insieme”.
Indice degli argomenti
Dalla nascita degli honkers al consolidamento del cyber spionaggio cinese
Questa non è una guerra convenzionale, ma una “Guerra Liminale” — un conflitto incrementale e pervasivo, dove ogni settore, dalla politica all’economia, dalle infrastrutture critiche al furto di proprietà intellettuale, diventa un campo di battaglia globale. Al cuore di questa ambiziosa visione c’è l’evoluzione dei “red hacker” cinesi, noti come Honkers (红客, Hong Ke), le cui origini, trasformazioni e attuale integrazione con l’apparato statale sono state minuziosamente svelate nel rapporto “The “Red Hackers” Who Shaped China’s Cyber Ecosystem” di Eugenio Benincasa, Senior Researcher del Center for Security Studies (CSS) dell’ETH Zürich.
Il governo cinese coordina attivamente operazioni di cyber spionaggio attraverso le sue agenzie di intelligence, principalmente il Ministero della Sicurezza dello Stato (MSS) e l’Esercito Popolare di Liberazione (PLA), avvalendosi sempre più di contractor privati. Questi attacchi mirano a infrastrutture critiche, al furto di proprietà intellettuale e alla sorveglianza di comunicazioni sensibili, rappresentando una minaccia crescente e multiforme per la sicurezza internazionale. Un’ulteriore e preoccupante evoluzione, evidenziata da Google Threat Intelligence Group, vede la Cina aumentare le sue operazioni di spionaggio combinando la distribuzione di ransomware con la raccolta di informazioni.
Questo deliberato “mescolamento” supporta gli sforzi pubblici del governo cinese di confondere l’attribuzione, mascherando attività di spionaggio informatico dietro operazioni di ransomware.
Le preoccupazioni della Cina per la sicurezza nazionale interna, in particolare nel settore tecnologico, hanno subito un’accelerazione decisiva con le rivelazioni di Edward Snowden nel 2013. Questo punto di svolta ha coinciso con l’avvento di Xi Jinping al potere e ha innescato una serie di cambiamenti politici e istituzionali senza precedenti. Pechino ha riformato profondamente la sua governance cibernetica, dando vita a nuove entità come il Leading Small Group on Network Security and Informatization, presieduto dallo stesso Xi, e la Cybersecurity Administration of China (CAC).
Sono state adottate leggi fondamentali come la National Security Law (2015) e la Cybersecurity Law (2016), e sono state identificate e protette le catene di approvvigionamento estere critiche. Le rivelazioni di Snowden hanno confermato i timori cinesi che le agenzie di intelligence statunitensi operassero in una “God Mode” con accesso quasi illimitato alle comunicazioni globali.
Si svelerà come la Cina sia passata da una comunità di appassionati di tecnologia autodidatti, mossi da un fervente patriottismo agli albori di Internet, a una potenza cibernetica che impiega strategie “trans-militari” e “non-militari” per indebolire gli Stati e favorire un nuovo ordine mondiale. Saranno esplorate le radici di questo fenomeno, l’ingegnosa metodologia di apprendimento “sul campo” che ha formato generazioni di cyber-combattenti, la loro graduale professionalizzazione e l’inquietante integrazione con i servizi di intelligence e le forze armate cinesi.
Si farà luce sulle principali aree d’attacco: dallo spionaggio politico condotto dal Ministero della Sicurezza dello Stato (MSS) — come nel caso di Salt Typhoon, paragonabile alle rivelazioni di Snowden per la sua audacia — al sabotaggio di infrastrutture critiche da parte del PLA (Esercito Popolare di Liberazione), esemplificato da Volt Typhoon, fino al massiccio furto di proprietà intellettuale su scala planetaria che costa all’economia statunitense centinaia di miliardi di dollari. Il percorso degli Honkers, culminato nei “Red 40”, un gruppo d’élite di cyber-talenti integrati in ruoli chiave statali e aziendali, rivela non solo l’impressionante capacità di Pechino di coltivare e sfruttare le proprie risorse umane digitali, ma anche la natura onnipresente e sempre più sofisticata della minaccia cibernetica cinese che ci troviamo ad affrontare oggi.
Le origini: la nascita e il consolidamento della cultura hacker cinese (metà anni ’90 – inizi 2000)
Secondo Benincasa, l’alba della cultura hacker cinese coincide con l’ufficiale connessione della Cina a Internet, avvenuta il 20 aprile 1994, attraverso una linea di trasmissione dati dedicata tramite la società di telecomunicazioni statunitense Sprint. Pochi mesi dopo, China Telecom ha lanciato ChinaNet, inaugurando i servizi pubblici di Internet in tutto il paese. Ma sono state soprattutto le università ad aver svolto un ruolo pionieristico. La creazione, sempre nel 1994, di reti come la China Education and Research Network (CERNET) e la Chinese Academy of Sciences’ CSTNET, ha collegato le istituzioni accademiche e promosso la condivisione delle conoscenze tra studenti e ricercatori anni prima che l’accesso a Internet diventasse comune per il pubblico generale. Questi ambienti universitari sono stati veri e propri “incubatori” per gli hacker, favorendo la sperimentazione tecnica e l’emergere di una cultura hacker autoctona.
I primi hacker cinesi erano in gran parte autodidatti, appassionati di tecnologia che si riunivano su bacheche elettroniche (BBS) e primi siti web per scambiarsi consigli sulla programmazione, sulla sicurezza di rete e sulle tecniche di hacking. Inizialmente, gli sforzi erano individuali e mancava una struttura di gruppo formale. Si affidavano pesantemente a malware di produzione statunitense, come il notorio Trojan “Black Orifice” rilasciato a DEFCON nel 1998, per inviare spam ed eseguire attacchi DDoS (Distributed Denial-of-Service).
Il vero punto di svolta, come documentato in “A Top-Secret Analysis of China’s Hacker X-Files“, si è verificato tra il 1998 e il 2001, un periodo che è stato definito da una serie di “guerre cibernetiche patriottiche” che hanno solidificato l’identità collettiva degli hacker cinesi. Incidenti come i disordini violenti contro le comunità etniche cinesi in Indonesia nel 1998 e il bombardamento dell’Ambasciata cinese a Belgrado da parte degli Stati Uniti nel 1999, hanno scatenato ondate di nazionalismo e rabbia. In risposta, gli hacker cinesi si sono organizzati, creando il “Chinese Hacker Emergency Conference Center” (中国黑客紧急会议中心) e lanciando operazioni coordinate, tra cui defacement di siti web e attacchi DoS contro obiettivi governativi indonesiani. L’evento di Belgrado, in particolare, ha portato alla rapida formazione della “Red Hacker Alliance” (RHA), un’ampia coalizione di gruppi tra cui la Honker Union of China (HUC) e la Green Army. Secondo il rapporto termine “Honker” (红客) è diventato un riferimento comune per gli hacker patriottici, un’etichetta ancora in uso oggi per descrivere l’atto di hacking patriottico. Questi Honkers sono meglio categorizzati come “hacktivisti”, individui che utilizzano strumenti digitali per promuovere cause politiche o sociali. Le loro attività erano in gran parte allineate agli interessi geopolitici di Pechino, prendendo di mira entità negli Stati Uniti, a Taiwan e in Giappone.
Sebbene spesso si parli di decine di migliaia di membri, come gli 80.000 presunti della Honker Union o i 3.000 della Green Army, il rapporto di Benincasa chiarisce che queste cifre mascheravano una distinzione cruciale tra una piccola “anima” di membri attivi e una base molto più ampia di utenti registrati nei forum. Gong Wei (goodwell), fondatore della Green Army, citava solo 40 membri principali, mentre alcune fonti suggerivano che il nucleo della Honker Union fosse composto da soli otto. Questi membri principali erano responsabili delle operazioni tecniche e delle decisioni strategiche, possedendo livelli di abilità tecnica significativamente più elevati rispetto alla più ampia base di utenti registrati che si impegnavano principalmente in discussioni sui forum.
La nascita e lo sviluppo delle capacità “Live-Fire” (inizi 2000 – inizi 2010)
Per gli hacker cinesi dei primi anni 2000, l’assenza di percorsi educativi formali per lo sviluppo delle competenze tecniche era un ostacolo significativo. Le università cinesi offrivano pochissimi programmi dedicati alla cybersecurity, e le infrastrutture per la formazione pratica, come le competizioni Capture the Flag (CTF) o i programmi di bug bounty, erano scarse o assenti.
Secondo Benincasa, in questo vuoto istituzionale i gruppi hacker sono diventati vere e proprie accademie di formazione de facto. Collettivi come l’EvilOctal Security Team, la Green Army e la China Eagle Union hanno istituito comunità strutturate e autogestite incentrate sulla collaborazione, la condivisione delle conoscenze e lo sviluppo delle competenze. Per molti, l’hacking di bersagli reali era il principale mezzo per acquisire esperienza pratica.
Un’influenza fondamentale per questa prima generazione è stato l’hacker taiwanese Lin Zhenglong (林正龙), noto online come “coolfire”. La sua “Hacker Entry-Level Tutorial Series” (黑客入门教程系列), pubblicata nel 1995 e composta da otto articoli, è diventata la prima risorsa di formazione hacker strutturata disponibile in lingua cinese. Il rapporto di Benincasa sottolinea che figure chiave come Wang Yingjian (casper) di Xfocus e Gong Wei (goodwell) della Green Army hanno attribuito agli scritti di Lin un ruolo decisivo nel loro percorso di formazione e nel loro modo di pensare. La filosofia di Coolfire si basava sulla “difesa attraverso l’offesa”—l’idea che padroneggiare le tecniche offensive fosse cruciale per comprendere e migliorare le proprie capacità difensive. Spesso ciò implicava la pratica su sistemi reali, come notato da Wang Junqing (la0wang), fondatore di 0x557, che ha descritto come l’ambiente di fine anni ’90 e inizio 2000 offrisse ampio spazio per affinare le capacità offensive su “bersagli reali”.
Coolfire ha anche stabilito un codice etico informale, le sue “13 Regole”, che enfatizzavano la minimizzazione dei danni, l’evitare i sistemi governativi e il ripristino delle macchine colpite, trattando l’hacking come un mezzo di apprendimento piuttosto che di distruzione.
Tra il 1997 e il 2002, la comunità hacker cinese ha iniziato a sviluppare i propri strumenti offensivi. Inizialmente dipendenti da malware stranieri come il notorio Trojan “Black Orifice” rilasciato a DEFCON nel 1998, gli hacker cinesi hanno creato “Glacier” [il primo Trojan di accesso remoto (RAT) domestico sviluppato da Huang Xin (glacier) nel 1999] e “X-Scan” [uno scanner di vulnerabilità di rete sviluppato nel 2000 da Huang Xin e Yang Yong (coolc) che è ancora oggi ampiamente utilizzato e lodato come “il frutto dell’ingegno di molti hacker in Cina”]. Questi strumenti hanno ridotto la barriera d’ingresso per gli aspiranti hacker e hanno segnato un punto di svolta, portando alla creazione di un ecosistema domestico distintivo e al distacco dalla cultura hacker occidentale. Tuttavia, intorno alla metà degli anni 2000, c’è stato un cambiamento verso lo sfruttamento di vulnerabilità zero-day, segnalando l’emergere di un approccio distintamente cinese allo sviluppo di capacità cibernetiche offensive.
L’identificazione dei talenti era spesso informale e guidata da reti personali. Un esempio citato è quello di Yang Jilong (watercloud) di Xfocus, reclutato attraverso una sfida simile a un CTF nel 1999. Le conferenze come XCon, fondate nel 2002 da Wang Yingjian (casper) di Xfocus e modellate su eventi internazionali come DEFCON, sono diventate piattaforme cruciali per la dimostrazione delle competenze e il reclutamento informale. Anche enti statali, come la PLA, hanno iniziato a utilizzare concorsi di hacking per valutare e reclutare individui qualificati, come nel caso di Tan Dailin (wicked rose) nel 2005, reclutato dal Comando Militare del Sichuan per una competizione di attacco-difesa.
Il rapporto di Benincasa introduce il concetto dei “Red 40”, un gruppo di 40 individui influenti scelti tra i circa 200 membri principali dei gruppi hacker più importanti. Questi individui hanno mantenuto ruoli significativi nell’evoluzione del panorama cibernetico cinese negli ultimi due-tre decenni, fondando gruppi, lanciando campagne patriottiche e sviluppando strumenti chiave, prima di assumere posizioni di rilievo nel governo e nell’industria.
Dagli esterni agli interni: la professionalizzazione e l’integrazione statale (2000-2010)
La fine dell’era dei gruppi di Honker è stata graduale, influenzata da una combinazione di fattori: il declino degli attacchi su larga scala motivati politicamente, lo scioglimento o la trasformazione di molti gruppi, l’avvio delle prime iniziative commerciali e un inasprimento del quadro normativo cinese.
Il governo cinese, che inizialmente aveva tollerato le attività degli Honkers in quanto promuovevano l’unità nazionale senza un suo coinvolgimento diretto nei conflitti internazionali, ha iniziato a mostrare disagio per la mancanza di controllo e la potenziale imprevedibilità di queste azioni. Già il 1° maggio 2001, in seguito alla “Cyber War” Cina-USA (innescata dalla collisione tra un aereo da ricognizione statunitense e un jet cinese vicino all’isola di Hainan), il People’s Daily (人民日报), organo ufficiale del Partito Comunista Cinese, ha condannato le campagne dei giovani hacker come “imperdonabili” e simili al “web terrorismo”. Nel 2002, in occasione del primo anniversario della Cyber War Cina-USA, il capo della Internet Society of China ha rilasciato una dichiarazione via Xinhua News Agency che si opponeva formalmente alle operazioni cibernetiche lanciate da qualsiasi organizzazione o individuo “per qualsiasi ragione e in qualsiasi forma”.
Di fronte a queste pressioni, molti gruppi hanno iniziato a frammentarsi o a reinventarsi. La Green Army è stata il primo grande gruppo cinese a sciogliersi, in seguito a una disputa interna nel 2000. La Honker Union si è brevemente dissolta nel 2004 a causa del calo di entusiasmo tra i membri anziani, della delusione generale per l’ambiente della cybersecurity cinese e della carenza di membri tecnicamente qualificati.
Altri gruppi, come il Ph4nt0m Group, hanno pubblicato il loro ultimo aggiornamento su Blogger nel 2008, citando la censura (dovuta al Great Firewall di Cina che bloccava Blogger) e le “responsabilità da adulti” come ragioni per lo scioglimento, con i membri che lamentavano la mancanza di tempo per aggiornare materiali tecnici a causa del lavoro. Questi problemi finanziari hanno spinto alcuni gruppi, come EvilOctal, a riorganizzarsi per generare profitto attraverso la vendita di libri e materiali di formazione, o anche accordi con i media.
Il declino dell’attivismo hacker ha coinciso con l’ascesa dell’industria cinese della criminalità informatica, che si è espansa rapidamente tra la metà e la fine degli anni 2000. In assenza di un settore della cybersecurity maturo, alcuni ex hacker patriottici si sono rivolti ad attività illecite, tra cui la vendita di malware, la commissione di frodi bancarie e di truffe online legate ai giochi. Questo periodo ha segnato una fase di transizione tra il declino dell’attivismo hacker di base e l’emergere di un’industria della cybersecurity più organizzata, che ha iniziato ad accelerare solo all’inizio degli anni 2010.
Un punto di svolta legale si è avuto con l’adozione nel 2009 da parte del Comitato Permanente dell’Assemblea Nazionale del Popolo (NPCSC) del Criminal Law Amendment VII, che ha ampliato le sanzioni per le intrusioni non autorizzate nei sistemi informatici, includendo disposizioni che prendevano di mira coloro che fornivano strumenti che facilitavano tali intrusioni. Questo ha portato alla chiusura di piattaforme come il Black Hawk Security Network e all’arresto di figure chiave come Tan Dailin (wicked rose), fondatore di NCPH. In risposta, nel 2011, importanti Honkers, tra cui Gong Wei (goodwell) e Wan Tao (eagle), hanno promosso la “China Hacker Self-Discipline Convention” (中国黑客自律公约) per definire standard comunitari e scoraggiare la criminalità informatica. Nel 2012, la rivista mensile cinese Hacker X-Files ha cessato le attività, simboleggiando la fine di un’era per la comunità hacker cinese.
I membri dei Red 40, in questo contesto di cambiamento, si sono rivolti al mondo degli affari, cogliendo le opportunità in un settore della cybersecurity cinese allora percepito come “debole” e “in deterioramento”. Molti hanno assunto ruoli chiave in aziende di cybersecurity affermate come Venustech e Topsec, o presso giganti tecnologici come Baidu, Alibaba, Tencent e Huawei. Alcuni hanno fondato le proprie startup di cybersecurity, come NSFOCUS (fondata nel 2000 da Shen Jiye (沈继业), ex membro della Green Army) e Knownsec (fondata nel 2007 da Zhao Wei (icbm), Yang Jilong (watercloud) e Fang Xing (flashsky), ex membri di 0x557 e Xfocus).
Parallelamente, si è intensificata la collaborazione con enti statali. Nel 2009, diplomatici statunitensi hanno rivelato preoccupazioni riguardo alla possibilità che la RPC stesse “raccogliendo i talenti del suo settore privato per rafforzare le capacità di operazioni di rete offensive e difensive”. Topsec e Venustech, tra le poche aziende di cybersecurity mature dell’epoca, avevano stretti legami con la PLA e il Ministero della Sicurezza di Stato (MSS). Nel 2006, il gruppo Network Crack Program Hacker (NCPH), guidato da Tan Dailin (wicked rose), ha condotto una serie di campagne di cyberespionaggio di successo, probabilmente per conto della PLA. Questi “hackers-for-hire” erano spesso pagati per completare intrusioni.
L’ascesa dei Red 40 e l’eredità duratura (2010 – oggi)
Gli anni 2010 e l’inizio degli anni 2020 hanno visto un’esplosione di esposizioni di gruppi di minaccia legati alla Cina, gettando maggiore luce sull’evoluzione dell’ecosistema cibernetico offensivo cinese. Mentre le prime operazioni erano spesso attribuite a unità della PLA, le successive rivelazioni hanno sempre più indicato attività del MSS, che ha fatto un uso crescente di intermediari nel settore privato. Questo approccio è stato rafforzato dalla rapida espansione dell’industria cinese della cybersecurity, che ha alimentato la crescita di un mercato maturo di hack-for-hire.
Le traiettorie dei membri dei Red 40 illustrano questo cambiamento. Secondo Benincasa,i loro contributi spaziano da ruoli diretti come operatori di prima linea all’interno di “aziende di copertura” (front companies), alla gestione di aziende orientate allo spionaggio legate a gruppi APT, fino al mantenimento e adattamento di strumenti “eredità” degli anni 2000 che rimangono attivi nell’arsenale cibernetico cinese.
Esempi notevoli includono Tan Dailin (wicked rose), collegato ad APT41; Zeng Xiaoyong (envymask), una figura centrale in APT17 (gruppo legato al MSS) e Zhou Shuai (coldface), veterano della Green Army, collegato ad APT27. Le sanzioni statunitensi del 2024 hanno rivelato che operazioni sponsorizzate dallo stato cinese si affidano sempre più a imprese legittime a scopo di lucro, come i-SOON e Integrity Tech, dove ex Honkers occupano posizioni esecutive. Wu Haibo (shutdown), ex membro della Green Army e 0x557, ha fondato i-SOON nel 2010. Cai Jingjing (cbird), veterano della Green Army e 0x557, ha fondato Integrity Tech nel 2010.
La “New School” e l’evoluzione del talento (2010 – oggi)
Secondo il rapporto Benincasa, la “New School” è emersa in un contesto di proliferazione di concorsi di hacking, piattaforme di bug bounty e cyber range, che hanno ridefinito la portata e la qualità della formazione sulla cybersecurity in Cina. Questi sviluppi, formalizzati nel modello “4+3” del Ministero dell’Istruzione nel 2022 (che include valutazione dell’efficacia di combattimento, scoperta di vulnerabilità software, capacità di attacco-difesa dal vivo e capacità di sviluppo ingegneristico, coltivate attraverso concorsi di hacking, esercitazioni di attacco-difesa e crowd testing), hanno segnato un punto di svolta nella pipeline di talenti della cybersecurity del paese. A differenza degli hacker “Old School” che hanno imparato sul campo tramite intrusioni reali, questa nuova coorte è addestrata in ambienti simulati e strutturati che replicano condizioni operative, minimizzando i rischi legali e strategici. Il rapporto di Benincasa sottolinea come Wang Junqing (la0wang), fondatore di 0x557, abbia osservato il passaggio dal “hone offensive cyber skills on real-world targets” agli attuali CTF e competizioni di sicurezza.
I membri dei Red 40 hanno svolto un ruolo cruciale come mentori e giudici, colmando il divario tra i talenti emergenti della New School e le esigenze dell’industria cinese. Esempi includono l’Operazione Myth, un programma di formazione sperimentale di cybersecurity lanciato nel 2015 da Wang Yingjian (casper) di Xfocus e sostenuto da Qihoo 360. Molte aziende collegate ai Red 40, come Chengdu Neusoft Institute in collaborazione con i-SOON, hanno istituzionalizzato lo sviluppo dei talenti attraverso partenariati pubblico-privato. La preferenza per le competenze pratiche rispetto al prestigio accademico è evidente, come dimostrato dalla strategia di reclutamento di i-SOON che privilegia gli studenti con capacità di “attacco-difesa dal vivo” rispetto ai laureati di università d’élite.
L’ecosistema cinese di attacco-difesa è in forte espansione, con numerose startup che offrono servizi di penetration testing, red teaming e threat intelligence. Questo sviluppo riflette un più ampio spostamento industriale, dove le competenze affinate in ambienti di hacking competitivo vengono sempre più riutilizzate per costruire servizi di sicurezza commerciale. Questo ecosistema, a sua volta, è destinato a diventare un abilitatore sempre più importante per gli attori APT cinesi, poiché il suo mercato di hack-for-hire cresce parallelamente a una nuova generazione di talenti che entra in un’industria della cybersecurity sempre più orientata alle soluzioni offensive. L’evoluzione dell’ecosistema di attacco-difesa della New School, comprese le sue implicazioni per le operazioni sponsorizzate dallo stato, è esaminata in maggiore dettaglio nel rapporto CSS Cyberdefense 2024 “From Vegas to Chengdu”.
Strategie e obiettivi del cyber spionaggio cinese nella guerra liminale
Nell’ultimo decennio, il programma di hacking della Cina è cresciuto rapidamente, al punto che nel 2023 Christopher Wray, allora direttore dell’FBI, ha rilevato che era più grande di quello di ogni altra grande nazione messa insieme. La crescente potenza e sofisticazione della Cina ha prodotto successi in tre aree principali: nella politica, nel sabotaggio di strutture critiche e nel furto della proprietà intellettuale su scala planetaria. La Cina impiega in modo integrato operazioni di computer network, di guerra elettronica, economiche, diplomatiche, legali, militari, di intelligence, psicologiche, di inganno militare e di sicurezza per indebolire gli Stati, renderli economicamente dipendenti a Pechino e più disposti a un nuovo ordine mondiale autoritario con caratteristiche distintive cinesi. Questo è in linea con la cosiddetta “Liminal Warfare”, una guerra incrementale, dove lo spettro della competizione e del confronto con l’Occidente è talmente ampio che il campo di battaglia è ovunque e la guerra è totale, come descritto nel libro Unrestricted Warfare del 1999 da due colonnelli cinesi della PLA.
Le reti informali, spesso radicate nelle origini della scena hacker cinese, continuano a facilitare la condivisione di talenti, strumenti e capacità operative tra gli attori APT. Un’analisi del 2025 del Natto Thoughts dei log di chat trapelati di i-SOON, ha rivelato un rapporto di lunga data tra Han Zhengguang (TB), leader del Pangu Team, e Wu Haibo (shutdown), CEO di i-SOON, entrambi ex membri principali di 0x557. Strumenti ampiamente condivisi come PlugX, sviluppato nel 2008 da Zhou Jibing (whg) e Tan Dailin, sono stati utilizzati da oltre dieci gruppi APT cinesi. Anche strumenti di ricognizione come X-Scan (sviluppato da Huang Xin (glacier) nel 2000) e ZoomEye (sviluppato da Knownsec), inizialmente progettati per test di sicurezza, sono stati riutilizzati per operazioni offensive.
Il cyber spionaggio politico e militare della Cina
Attualmente, il cyber spionaggio politico cinese e le operazioni di sorveglianza sono legate principalmente al Ministero della Sicurezza dello Stato (MSS), il servizio di intelligence estera cinese. L’anno scorso è emerso che un gruppo di hacker cinesi, soprannominato Salt Typhoon, ha violato almeno nove compagnie telefoniche americane, dando loro accesso a chiamate e messaggi di importanti funzionari. Ciaran Martin, che ha guidato l’agenzia britannica per la cyber-difesa dal 2016 al 2020, ha paragonato questa operazione alle rivelazioni del 2013 di Edward Snowden, un contractor governativo, definendola “un’operazione di spionaggio strategico di un’audacia mozzafiato”, come evidenziato in una sua recente analisi intitolata “Typhoons in Cyberspace”. Secondo Google Threat Intelligence Group, la Cina aumenta le sue operazioni di spionaggio utilizzando gruppi di minacce persistenti avanzate come APT41 per combinare la distribuzione di ransomware con la raccolta di informazioni. “Mescolare deliberatamente le attività di ransomware con le intrusioni di spionaggio supporta gli sforzi pubblici del governo cinese per confondere l’attribuzione confondendo le attività di spionaggio informatico con le operazioni di ransomware“. L’APT41 opererebbe dalla Cina e sarebbe “molto probabilmente un appaltatore del Ministero della Sicurezza di Stato”. Oltre alle campagne di spionaggio sponsorizzate dallo Stato contro un’ampia gamma di settori, l’APT41 avrebbe una lunga storia di operazioni a sfondo finanziario. L’attività di cybercriminalità del gruppo si è concentrata soprattutto sul settore dei videogiochi, compresa la diffusione di ransomware.
L’uso del cyber spionaggio per la guerra elettronica
Nell’electronic warfare, l’hacking serve per il sabotaggio in momenti di crisi o di guerra. Questi sforzi sono guidati dall’Esercito Popolare di Liberazione (PLA), il braccio armato del Partito Comunista Cinese. Nel 2023 si è scoperto che un gruppo di hacker legato noto come Volt Typhoon, si è introdotto per diversi anni in una straordinaria gamma di infrastrutture critiche americane, dai porti alle fabbriche agli impianti di trattamento delle acque, in tutti gli Stati Uniti continentali e in territori americani strategici come Guam. “Volt Typhoon è un’operazione militare per scopi politici strategici e potenzialmente militari”, sostiene Ciaran Martin. Gestita dall’unità informatica dell’Esercito Popolare di Liberazione, prevede l’inserimento di impianti preparatori – “trappole digitali”, come sono state definite da alcuni – in ogni sorta di infrastruttura critica americana. Oltre ad aver colpito un’azienda elettrica statunitense nel Massachusetts nel 2023 in un attacco prolungato che mirava a esfiltrare dati sensibili riguardanti la sua infrastruttura di tecnologia operativa (OT), Volt Typhoon ha guadagnato notorietà l’anno scorso per una serie di attacchi alle telecomunicazioni statunitensi, oltre ad altre infrastrutture critiche a livello globale. L’azione del sottogruppo Volt Typhoon Voltzite ai dipartimenti Little Electric Light and Water (LELWD) ha spinto l’FBI e la società di sicurezza Dragos ad agire congiuntamente, rivelando i dettagli dell’attacco e la sua mitigazione in un case study pubblicato a marzo 2025.
Il furto di proprietà intellettuale attraverso il cyber-spionaggio
Il canale più dannoso per il furto della proprietà intellettuale è lo spionaggio informatico. Le intrusioni informatiche consentono alle aziende cinesi, in alcuni casi agendo sotto la direzione del PCC o con l’assistenza del governo (cosiddetto Cyberspionaggio di Stato), di accedere alle informazioni sulle operazioni proprietarie delle aziende straniere e sulle informazioni sul finanziamento dei progetti, nonché di rubare IP e tecnologia. La Cina utilizza campagne di spionaggio informatico coordinate e sostenute dal governo per rubare informazioni da una varietà di società commerciali estere, comprese quelle dell’industria petrolifera ed energetica, siderurgica e aeronautica. Il cyber spionaggio è sia un mezzo per rubare scienza e tecnologia a Stati esteri, sia un metodo di raccolta di informazioni per potenziali attacchi contro i sistemi tecnici militari, governativi e commerciali di Paesi target.
Mandiant Threat Intelligence, una delle più importanti società di intelligence di sicurezza informatica a livello globale, afferma che, dopo la ristrutturazione militare e dell’intelligence voluta da Xi Jinping nel 2016, la tecnica utilizzata dai gruppi di spionaggio informatico affiliati alla Cina si è costantemente evoluta, diventando più furtiva ed agile. Secondo Mandiant, l’attività di spionaggio informatico di Pechino fa capo sia al Ministero della Sicurezza di Stato (MSS) che alla PLA, ma presenta differenze per ambito geografico, allineamento delle operazioni e vittime.
Mentre i gruppi di minaccia affiliati ai Comandi di Teatro operativo della PLA, come Tonto Team e TEMP e Overboard, concentrano le operazioni all’interno delle aree di responsabilità dei rispettivi Comandi, quelli di MSS, come APT41, APT5 e APT10, operano in ambito geografico molto più ampio, come Stati Uniti, Europa, America Latina, Caraibi e Nord America. In sostanza, l’MSS conduce operazioni di controspionaggio interno, di intelligence straniera non militare e supporta aspetti della sicurezza politica. Mandiant Threat Intelligence sostiene che i gruppi cinesi, nel tentativo di confondersi con altre attività di minaccia, sono sempre più propensi a utilizzare malware pubblicamente disponibili.
Ciò che distingue l’attività di spionaggio informatico cinese da quella di altri Stati sono l’interesse nazionale perseguito e la portata delle operazioni. Pechino ha requisiti unici nella raccolta di informazioni, ad esempio, a Hong Kong, in Tibet e nella comunità uigura; e in termini di scala l’attività cinese è maggiore. In sostanza, Mandiant ritiene che i gruppi cinesi legati allo Stato che conducono compromissioni sfruttano più zero-day e sono numericamente maggiori rispetto a quelli di altri Stati. Gli attori cinesi utilizzano una varietà di “vettori di accesso iniziale” come il phishing tramite e-mail e social engineering, la compromissione web strategica e l’SQL injection. Essi hanno inoltre sfruttato efficacemente le compromissioni n-day e zero-day nel 2020/2021 più di qualsiasi altro Stato.
All’inizio del 2020, Mandiant ha osservato che uno dei gruppi di spionaggio informatico cinese più prolifici, l’APT41, aveva condotto una campagna su larga scala, sfruttando le vulnerabilità nei dispositivi di rete aziendale e di gestione degli endpoints di Citrix, Cisco e Zoho, riuscendo a colpire più di 75 società presenti in oltre 20 Paesi con attività che andavano dall’aerospazio alla difesa, al farmaceutico, all’energia e ai servizi di pubblica utilità. Da gennaio a marzo 2021, almeno cinque set di attività cinesi hanno sfruttato le vulnerabilità di “ProxyLogon” di Microsoft Exchange per ottenere l’accesso a reti mirate. Mandiant ha anche attribuito molte intrusioni condotte tra agosto 2020 e marzo 2021 nei settori della difesa, governativo, high-tech, dei trasporti e finanziario degli Stati Uniti e dell’Europa a due cluster cinesi, uno dei quali si sospetta che abbia legami con il gruppo noto come APT5.
Il gruppo cinese denominato APT10 avrebbe condotto anche attività di compromissione di terze parti tramite MSP in Nord America e in Europa. Durante un’indagine in risposta agli incidenti del 2019 ad un provider di reti di telecomunicazioni, Mandiant ha attribuito il malware denominato MESSAGETAP al gruppo APT41. Gli incidenti di compromissione nella catena di fornitura condotti dagli attori cinesi dal 2013 al 2020 sono quasi il doppio rispetto a quelli di Russia e Corea del Nord messi insieme. APT41 è anche noto per aver compiuto compromissioni su larga scala della catena di fornitura di software di videogiochi e aziendali, come la campagna del 2018 che ha interessato l’utilità di aggiornamento di ASUS, soprannominata da Kaspersky “Operazione ShadowHammer”, che ha coinvolto più di 50.000 sistemi.
Negli Stati Uniti, i dati investigativi sullo spionaggio economico cinese sono impressionanti:
nel 2014, cinque hacker del PLA sono stati incriminati per spionaggio economico.
- Nel novembre 2017, tre hacker cinesi che avevano lavorato presso la società di cybersecurity Boyusec sono stati incriminati per furto di informazioni commerciali riservate.
- Nel dicembre 2018, c’è stata l’incriminazione di due cittadini cinesi per furto di proprietà intellettuale.
- Nel maggio 2019, c’è stata l’indagine per l’hacking su Anthem.
- Nel febbraio 2020, è toccato a quattro hacker militari per aver preso di mira Equifax.
- Nel luglio 2020, è stata la volta di due hacker associati al Ministero della Sicurezza dello Stato cinese (MSS) per aver hackerato proprietà intellettuale, inclusa la ricerca sul Covid-19.
- Nel settembre 2020, sono stati incriminati i membri di un gruppo di hacker cinese noto come APT 41.
- Nel luglio 2021, altri hacker sono stati associati all’MSS. L’accusa del dicembre 2018 faceva parte dello sforzo condotto dagli Stati Uniti per sollevare, a livello mondiale, la questione relativa al cyber-spionaggio cinese. In quel caso, la campagna, nota come Cloud Hopper, si era sostanziata in un attacco alla catena di approvvigionamento che aveva coinvolto fornitori di servizi gestiti come Hewlett Packard e IBM. Il Dipartimento di Giustizia aveva incriminato due cittadini cinesi che, secondo l’accusa, erano membri di un noto gruppo di hacker operante in Cina e avrebbero lavorato per la Huaying Haitai Science and Technology Development Company ed agito in associazione con l’Ufficio per la Sicurezza dello Stato di Tianjin del Ministero della Sicurezza di Stato. “La RPC ha perpetrato il più grande trasferimento illegittimo di ricchezza nella storia umana, rubando innovazione tecnologica e segreti commerciali da aziende, Università e dai settori della difesa degli Stati Uniti e di altre nazioni”, ha concluso nel 2020 un gruppo di esperti della Casa Bianca.
- Nel 2017, la Commission on the Theft of American Intellectual Property ha stimato che il furto della proprietà intellettuale costa all’economia statunitense fino a 600 miliardi di dollari l’anno, con un impatto significativo sull’occupazione e sull’innovazione. Questa cifra si avvicina al budget annuale della difesa nazionale del Pentagono e supera i profitti totali delle prime 50 aziende di Fortune 500.
Il ruolo delle università nel cyber-spionaggio cinese
Anche le università cinesi collaborano con la PLA e il MSS per svolgere operazioni di cyber spionaggio sponsorizzate dallo Stato. La Shanghai Jiao Tong University aiuta a condurre operazioni per l’esercito cinese. La Zhejiang University e l’Harbin Institute of Technology sono luoghi di reclutamento di hacker cinesi. La Xidian University fa acquisire ai suoi studenti un’esperienza pratica presso un Ufficio provinciale dell’MSS e ha anche avuto una relazione con il Terzo Dipartimento dello Stato Maggiore della PLA prima di essere riorganizzata nel Dipartimento dei Sistemi di Rete nel 2015; un suo corso di laurea è amministrato congiuntamente con il Guangdong Bureau del China Information Technology Security and Evaluation Center (o Guangdong ITSEC), un Ufficio dell’MSS che gestisce una squadra a contratto prolifica nell’hacking.
La Southeast University ha un rapporto duraturo con i servizi di sicurezza e gestisce congiuntamente il Purple Mountain Lab con la PLA Strategic Support Force, dove i ricercatori lavorano insieme su “importanti requisiti strategici”, sistemi operativi per computer e ricerca interdisciplinare sulla sicurezza informatica. Questa Università riceve anche finanziamenti da PLA e MSS per supportare lo sviluppo delle capacità informatiche della Cina.
Il corso di laurea in sicurezza informatica della Shanghai Jiaotong University (SJTU) si tiene in una base di ingegneria dell’informazione della PLA; il suo Cyberspace Security Science and Technology Research Institute, sede del programma Network Confrontation and Information System Security Testing, conduce ricerche che abilitano le operazioni informatiche. All’interno di questo programma, la SJTU afferma di lavorare su “test e valutazione di reti e sistemi informativi, test di sicurezza per reti connesse intelligenti, test di attacco e difesa APT e tecnologia chiave di cyber range”.
Sono ritenuti partner universitari del MSS nel reclutamento di talenti l’Università di Scienza e Tecnologia della Cina, l’Università Jiao Tong di Shanghai, l’Università Xi’an Jiaotong, l’Istituto di Tecnologia di Pechino, l’Università di Nanchino e l’Istituto di Tecnologia di Harbin. Alcune società cinesi di sicurezza informatica, come la Beijing TopSec, lavorano con la PLA in campagne di hacking, formazione di operatori e istruzione di futuri hacker.
L’impatto globale del cyber-spionaggio cinese
Tali intrusioni informatiche rappresentano, dunque, una minaccia fondamentale per la competitività economica e la sicurezza nazionale degli Stati colpiti. Nel giugno 2024, l’intelligence militare olandese (MIVD) ha dichiarato che lo spionaggio informatico cinese è più esteso di quanto inizialmente pensato e prende di mira governi occidentali e aziende del settore della difesa. L’agenzia MIVD ha affermato, in particolare, che un gruppo di hacker sostenuto dallo Stato cinese, responsabile di un attacco informatico al Ministero della Difesa olandese nel 2023, ha causato almeno 20.000 vittime in tutto il mondo in pochi mesi, e forse molte di più. Nel 2018, la Czech National Cyber and Information Security Agency (NUKIB) ha emesso un avviso pubblico sui rischi di sicurezza informatica correlati alla Cina.
Da allora, il paese ha sviluppato uno dei più rigorosi meccanismi di screening degli IDE e notevoli capacità di sicurezza informatica nei confronti di Pechino. Inoltre, sta anche lavorando sulle risposte alla manipolazione e all’interferenza delle informazioni straniere.
Secondo i procuratori degli Stati Uniti, negli ultimi anni decine di parlamentari europei sono stati presi di mira da attacchi informatici cinesi. Nel marzo 2024, in particolare, il Dipartimento di Giustizia degli Stati Uniti ha emesso un atto d’accusa, affermando che gli hacker cinesi con legami con l’agenzia di spionaggio nazionale, il Ministero della Sicurezza dello Stato (MSS), hanno preso di mira “ogni membro dell’Unione Europea” dell’Alleanza Interparlamentare sulla Cina (IPAC), una coalizione di legislatori critici nei confronti di Pechino. Secondo l’atto d’accusa, nel 2021 gli hacker hanno inviato “più di 1.000 e-mail a più di 400 account unici di individui associati all’IPAC” per cercare di raccogliere dati sulle attività Internet e sui dispositivi digitali dei membri.
Conclusioni
In conclusione, l’esperienza della Cina offre preziose intuizioni su come i collettivi cibernetici decentralizzati possano evolvere in risorse istituzionalizzate e come i governi possano riconoscere, coinvolgere e integrare il talento informale nelle strategie cibernetiche nazionali. I Red 40 non si sono limitati a dotare di personale l’ecosistema della cybersecurity cinese; lo hanno plasmato dalle fondamenta, dimostrando che ciò che inizia in forum anonimi può finire nelle sale del consiglio e sui campi di battaglia digitali.
