L’intelligence cinese ha attraversato una metamorfosi senza precedenti nel corso del 2024-2025, trasformandosi da apparato focalizzato sull’acquisizione tecnologica a sofisticata macchina da guerra ibrida orientata alla preparazione del campo di battaglia globale.
Indice degli argomenti
Dalla spionaggio economico alla preparazione bellica attiva
L’architettura di intelligence e di guerra cibernetica della Repubblica Popolare Cinese ha subito, nel corso del biennio 2024-2025, la più profonda e radicale trasformazione degli ultimi decenni. Abbandonando il paradigma operativo che aveva caratterizzato l’ultimo ventennio — focalizzato prevalentemente sullo spionaggio economico e sull’acquisizione massiva di proprietà intellettuale per colmare il divario tecnologico con l’Occidente — Pechino ha riorientato le proprie capacità verso la preparazione attiva del campo di battaglia per un potenziale conflitto cinetico ad alta intensità. Le evidenze raccolte e analizzate indicano inequivocabilmente che l’obiettivo primario è ora il pre-posizionamento strategico all’interno delle infrastrutture critiche delle nazioni avversarie, con l’intento di sviluppare capacità di interruzione, sabotaggio e coercizione latenti, attivabili in scenari di crisi, come un’eventuale azione militare contro Taiwan entro la finestra temporale del 2027.
Riorganizzazione strutturale e nuove forze specializzate
Questa transizione dottrinale è sostenuta da una massiccia riorganizzazione strutturale delle Forze Armate, culminata nell’aprile 2024 con lo smantellamento della Forza di Supporto Strategico e la creazione di entità specializzate come la Forza del Ciberspazio (CSF) e la Forza di Supporto Informativo (ISF). Parallelamente, l’apparato di intelligence civile, guidato dal Ministero della Sicurezza di Stato (MSS), ha affinato le proprie Tattiche, Tecniche e Procedure (TTPs), adottando approcci sempre più sofisticati per l’elusione dei sistemi di rilevamento, come l’uso di botnet costituite da router SOHO compromessi e tecniche living off the land.
Intelligence ibrida: dalla sorveglianza all’analisi predittiva
L’analisi tecnica dell’operazione Salt Typhoon, presentata come case study centrale, rivela una capacità di penetrazione profonda nelle dorsali di telecomunicazione globali, mirata non solo all’esfiltrazione di dati, ma al controllo dei meccanismi stessi di intercettazione legale, compromettendo alla radice la sicurezza delle comunicazioni occidentali. Inoltre, l’integrazione pervasiva dell’Intelligenza Artificiale nelle operazioni di sorveglianza e analisi dei dati, unita a campagne di Human Intelligence (HUMINT) condotte su piattaforme digitali come LinkedIn, delinea un quadro di minaccia ibrida, persistente e tecnologicamente avanzata.
Il substrato dottrinale: guerra intelligente e fusione civile-militare
Per comprendere le manifestazioni tecniche delle operazioni cinesi, è imperativo analizzare il substrato dottrinale che le guida. La strategia militare cinese si è evoluta dal concetto di guerra informatizzata a quello di guerra intelligente. In questa visione, il dominio delle informazioni non è solo un moltiplicatore di forza, ma il teatro decisivo del conflitto moderno. L’obiettivo non è la distruzione fisica totale del nemico, ma la distruzione del sistema: paralizzare le catene di comando, controllo, comunicazione e intelligence (C4ISR) dell’avversario, rendendolo incapace di reagire in modo coordinato.
La fusione civile-militare come imperativo operativo
Un pilastro fondamentale di questa strategia è la fusione civile-militare. Questo non è un semplice slogan politico, ma un imperativo operativo codificato nella legge sull’intelligence del 2017 e nella legge sul controspionaggio recentemente aggiornata. Tali normative obbligano qualsiasi cittadino, azienda o organizzazione cinese a supportare, assistere e cooperare con il lavoro di intelligence dello Stato. Ciò trasforma di fatto l’intero ecosistema tecnologico cinese — dalle grandi piattaforme digitali ai ricercatori universitari, fino ai fornitori di hardware — in una potenziale estensione dell’apparato di raccolta informativa.
Pipeline istituzionalizzata delle vulnerabilità zero-day
Questa sinergia si manifesta chiaramente nel ciclo di vita delle vulnerabilità software. Le leggi cinesi impongono che le vulnerabilità zero-day scoperte dai ricercatori nazionali siano segnalate alle autorità governative entro due giorni, vietandone la divulgazione a terze parti straniere senza autorizzazione. Questo meccanismo ha creato una pipeline istituzionalizzata che incanala la ricerca di sicurezza civile direttamente negli arsenali offensivi dello Stato, riducendo drasticamente il tempo tra la scoperta di una falla e il suo sfruttamento operativo.
La dissoluzione della SSF e la nascita delle nuove forze
L’anno 2024 ha segnato un punto di flesso storico nell’organizzazione militare cinese. La leadership del Partito Comunista Cinese, sotto la diretta supervisione di Xi Jinping, ha decretato la fine dell’esperimento della Forza di Supporto Strategico istituita nel 2015. Sebbene la SSF fosse stata concepita per integrare le capacità spaziali, cyber ed elettroniche, l’esperienza operativa ha evidenziato inefficienze nel coordinamento e nella catena di comando, spingendo verso una struttura più granulare e specializzata. La SSF era stata creata per unificare le funzioni di supporto informativo e le capacità di guerra non cinetica. Tuttavia, l’accorpamento di missioni così disparate — dal lancio di satelliti alla guerra psicologica, fino all’hacking offensivo — sotto un unico ombrello amministrativo ha creato colli di bottiglia decisionali. I rapporti indicano che la leadership militare era insoddisfatta della capacità della SSF di fornire un supporto tempestivo e integrato ai Comandi di Teatro, che sono le entità responsabili della condotta delle operazioni belliche reali. La dissoluzione della SSF non rappresenta quindi un passo indietro, ma un’evoluzione verso una maggiore efficacia operativa, eliminando livelli intermedi di burocrazia e ponendo le capacità critiche sotto il controllo più diretto della Commissione Militare Centrale.
La nuova architettura: quattro Servizi e quattro Bracci
Il 19 aprile 2024 è stata annunciata la nuova struttura basata su quattro Servizi e quattro Bracci. I Servizi rimangono l’Esercito, la Marina, l’Aeronautica e la Forza Missilistica. I Bracci, entità indipendenti direttamente subordinate alla CMC, includono ora tre nuove formazioni nate dalle ceneri della SSF.
Forza di Supporto Informativo: il sistema nervoso del PLA
L’istituzione della ISF è la novità più rilevante. Questa forza non ha un equivalente diretto nelle strutture occidentali e riflette l’ossessione dottrinale cinese per il dominio dell’informazione.
Missione: la ISF è responsabile della costruzione, operazione e difesa dell’infrastruttura di rete e comunicazione del PLA. Agisce come il sistema nervoso delle forze armate, garantendo che i flussi di dati tra sensori (satelliti, radar) e attuatori (missili, navi) siano sicuri, resilienti e ininterrotti.
Ruolo strategico: a differenza della SSF, la ISF si concentra sulla difesa delle reti e sul supporto C4ISR, liberando le altre forze dal compito di gestire l’infrastruttura di base e permettendo loro di concentrarsi sulle operazioni offensive. È l’entità garante della informatizzazione e della connettività in tempo di guerra.
Forza del Ciberspazio: la punta di lancia offensiva
La CSF eredita le funzioni operative del Dipartimento dei Sistemi di Rete della SSF.
Missione: questa è la punta di lancia per le operazioni offensive nel dominio cibernetico. Le sue competenze includono il cyber spionaggio militare, gli attacchi distruttivi contro infrastrutture nemiche e l’integrazione di operazioni cyber con la guerra elettronica (EW).
Confronto con US Cyber Command: la CSF è ora funzionalmente equivalente al Cyber Command statunitense, ma con una distinzione importante: opera in stretta sinergia con le unità di guerra elettronica, riflettendo la dottrina cinese di Integrated Network-Electronic Warfare. È probabile che gruppi APT precedentemente attribuiti al PLA (come APT12 o unità legate a Volt Typhoon) operino ora sotto l’egida operativa della CSF.
Pre-posizionamento: la missione della CSF si è chiaramente spostata dallo spionaggio puro alla preparazione operativa dell’ambiente, infiltrando reti critiche per garantire opzioni di attacco in caso di conflitto.
Forza Aerospaziale: dominio spaziale e ISR globale
La ASF assume il controllo delle risorse spaziali militari.
Missione: gestione delle costellazioni satellitari per ricognizione ISR, navigazione e comunicazioni. Inoltre, è responsabile delle capacità contro-spaziali, inclusi missili antisatellite a scesa diretta, laser accecanti e jammer orbitali.
Integrazione: l’ASF fornisce l’intelligence geospaziale necessaria per i missili di precisione a lungo raggio. Nel biennio 2024-2025, si è osservata una rapida espansione delle capacità ISR spaziali cinesi, con un aumento significativo del numero di satelliti in orbita, migliorando la capacità di tracciamento globale delle forze navali USA.
Il Ministero della Sicurezza di Stato e l’ecosistema contractor
Parallelamente alle forze militari, il Ministero della Sicurezza di Stato (MSS) continua a svolgere un ruolo centrale nello spionaggio estero, nel controspionaggio e nella sicurezza interna. L’MSS opera attraverso una struttura federata, con uffici provinciali e municipali che godono di una certa autonomia operativa e spesso si specializzano in determinati settori o aree geografiche. L’MSS si avvale ampiamente di un ecosistema di contractor privati e gruppi criminali cooptati. Questa strategia offre deniability e permette di attingere al talento del settore privato.
Gruppi chiave: attori come APT40, APT31 e APT10 sono storicamente affiliati all’MSS.
Evoluzione 2025: i rapporti recenti indicano una crescente professionalizzazione di questi gruppi, che stanno abbandonando le campagne noisy e indiscriminate a favore di operazioni mirate e furtive. L’MSS sta anche integrando sempre più le capacità HUMINT con quelle cyber, utilizzando le informazioni raccolte digitalmente per facilitare il reclutamento di fonti umane.
Living off the land: la nuova frontiera della persistenza stealth
Il salto qualitativo dell’intelligence cinese nel biennio 2024-2025 si manifesta nell’adozione di TTPs progettate per aggirare le moderne difese perimetrali e i sistemi di rilevamento e risposta. L’enfasi è passata dall’uso di malware personalizzato, all’abuso di strumenti legittimi e infrastrutture terze.
La tecnica dominante, esemplificata dalle operazioni del gruppo Volt Typhoon, è il living off the land.
Meccanismo: gli attaccanti, una volta ottenuto l’accesso iniziale (spesso tramite credenziali rubate o exploit su dispositivi edge non monitorati), evitano di scaricare file binari malevoli. Invece, utilizzano strumenti di amministrazione di sistema nativi di Windows e Linux già presenti sull’host vittima.
Strumenti: powershell e WMI usati per l’esecuzione di comandi, la ricognizione della rete e la persistenza. Poiché questi strumenti sono essenziali per l’amministrazione legittima, il loro uso malevolo si confonde nel “rumore di fondo” dei log di sistema. Ntdsutil e netsh utilizzati per estrarre database di active directory e configurare proxy di rete per l’esfiltrazione dei dati.
Sfida per la difesa: questa metodologia rende inefficaci i tradizionali antivirus basati su file. La rilevazione richiede un’analisi comportamentale avanzata e la correlazione di eventi apparentemente benigni, capacità che mancano in molte organizzazioni critiche.
KV-Botnet e l’architettura delle operational relay boxes
Per mascherare l’origine geografica degli attacchi e aggirare i blocchi basati sulla geo-localizzazione IP, l’intelligence cinese ha industrializzato la compromissione di dispositivi edge (router, firewall, VPN) e dispositivi SOHO (Small Office/Home Office).
KV-Botnet: un’infrastruttura sofisticata scoperta e analizzata da Lumen Technologies, utilizzata principalmente da Volt Typhoon. La KV-Botnet era costituita da una rete globale di dispositivi compromessi (router Cisco RV320/325, Netgear ProSAFE, DrayTek Vigor) che fungevano da nodi di rimbalzo.
Architettura a due livelli: cluster KV, un sottoinsieme di nodi élite, gestiti con estrema cautela e utilizzati esclusivamente per operazioni manuali contro bersagli di alto valore (governi, infrastrutture critiche) e cluster JDY, un insieme più ampio e rumoroso di nodi utilizzati per la scansione massiva e la ricognizione, fungendo da copertura per il cluster principale.
Resilienza: nonostante le operazioni di smantellamento condotte dall’FBI nel dicembre 2023, gli operatori cinesi hanno dimostrato una notevole capacità di rigenerazione, tentando di ri-compromettere i dispositivi patchati o spostandosi su nuove classi di dispositivi vulnerabili, evidenziando il valore strategico di questa infrastruttura.
Storm-0558: compromissione dell’identità cloud su scala strategica
L’operazione attribuita al gruppo Storm-0558 rappresenta un caso di scuola nello sfruttamento delle debolezze architetturali dei fornitori cloud.
Il vettore: il gruppo è riuscito a esfiltrare una chiave di firma privata di Microsoft. La causa probabile è stata identificata in un crash dump che conteneva inavvertitamente la chiave, successivamente spostato in un ambiente di rete meno sicuro e compromesso dagli attaccanti.
La tecnica di Forgery: con questa chiave, Storm-0558 ha potuto generare token di accesso OpenID v2.0 validi. A causa di una falla nella logica di validazione delle librerie Microsoft, questi token — firmati con una chiave destinata agli account consumer — venivano accettati anche dai sistemi enterprise (Outlook Web Access, Exchange Online).
Impatto: ciò ha garantito agli attaccanti l’accesso completo alle caselle e-mail di funzionari governativi americani ed europei, aggirando completamente l’autenticazione a più fattori e i cambi password. È un esempio di come l’intelligence cinese miri al livello di controllo piuttosto che ai singoli endpoint.
Salt Typhoon: anatomia della compromissione delle telecomunicazioni
L’episodio di spionaggio più significativo e allarmante del biennio 2024-2025 è senza dubbio la campagna attribuita al gruppo Salt Typhoon. Questa operazione si distingue per la sua profondità strategica: l’obiettivo non era solo l’acquisizione di informazioni, ma il controllo dell’infrastruttura stessa che i governi occidentali utilizzano per le intercettazioni legali. Salt Typhoon è un gruppo APT affiliato all’MSS, specializzato nella penetrazione di obiettivi governativi e tecnologici. A differenza di Volt Typhoon, orientato al sabotaggio, Salt Typhoon si concentra sulla raccolta di intelligence ad alto livello. L’obiettivo specifico della campagna 2024-2025 era l’infiltrazione nei grandi Internet Service Provider statunitensi (Verizon, AT&T, Lumen) e internazionali. La missione era accedere ai sistemi di Lawful Intercept, le interfacce tecniche utilizzate dagli operatori per ottemperare ai mandati giudiziari di intercettazione (come quelli previsti dal CALEA negli USA). Controllando questi sistemi, l’intelligence cinese poteva monitorare in tempo reale le comunicazioni dei propri bersagli e, fattore cruciale, scoprire chi fosse sotto indagine da parte delle agenzie di controspionaggio occidentali.
Fase 1: exploit CVE-2023-20198 sui router Cisco
L’operazione Salt Typhoon ha seguito una sequenza di attacco rigorosa e tecnicamente ineccepibile, sfruttando una combinazione di vulnerabilità zero-day e malware modulare avanzato.
Il punto di ingresso primario sono stati i router Cisco di fascia alta, che eseguivano il software IOS XE.
L’exploit: il gruppo ha sfruttato la vulnerabilità CVE-2023-20198 (punteggio CVSS 10.0), una falla critica nell’interfaccia di gestione Web UI. Questa vulnerabilità permetteva a un attaccante remoto e non autenticato di creare un account utente sul sistema con privilegi massimi (livello 15).
Impianto web: una volta ottenuto l’accesso, gli attaccanti installavano un impianto basato sul linguaggio Lua direttamente nel file system del router. Questo impianto permetteva l’esecuzione arbitraria di comandi a livello di sistema operativo (Linux sottostante a IOS XE), garantendo il controllo totale del dispositivo di rete.
Fase 2: GhostSpider e persistenza fileless
Dai router di bordo, Salt Typhoon si è mosso lateralmente verso i segmenti di rete interni, dove risiedevano i server di gestione e i database clienti.
Malware GhostSpider: Per mantenere la persistenza sui server Windows e Linux all’interno delle reti ISP, il gruppo ha utilizzato una backdoor precedentemente non documentata, denominata GhostSpider da Trend Micro.
Caratteristiche tecniche: GhostSpider è una backdoor modulare estremamente sofisticata. È progettata per caricare i suoi moduli direttamente in memoria, evitando di scrivere file sul disco (fileless malware) per eludere le scansioni forensi.
Modularità: i moduli possono essere aggiornati o cambiati dinamicamente dal server di Comando e Controllo (C2), permettendo funzionalità come la cattura di keystroke, lo sniffing del traffico di rete e l’esfiltrazione di file specifici.
Rootkit DEMODEX: in combinazione con GhostSpider, il gruppo ha utilizzato il rootkit DEMODEX per nascondere le connessioni di rete attive e i processi malevoli agli amministratori di sistema, garantendo una persistenza a lungo termine invisibile.
Fase 3: targeting politico e compromissione FISA
Una volta all’interno dei sistemi sensibili degli ISP, Salt Typhoon ha preso di mira specifici flussi di dati.
Targeting politico: le indagini hanno rivelato che il gruppo ha tentato di accedere alle comunicazioni (chiamate vocali e SMS non criptati) di figure politiche di primo piano, inclusi i telefoni utilizzati dall’entourage delle campagne presidenziali USA del 2024 (specificamente legati a Donald Trump e J.D. Vance).
Compromissione FISA: l’aspetto più dannoso è stata la potenziale compromissione delle richieste FISA (Foreign Intelligence Surveillance Act). Accedendo ai log delle intercettazioni, la Cina avrebbe potuto identificare quali spie cinesi fossero state scoperte dall’FBI, permettendo loro di esfiltrare gli agenti o “bruciare” le indagini in corso.
Cyber-enabled HUMINT: il reclutamento digitale industrializzato
Nonostante l’iper-tecnicismo delle operazioni cyber, l’intelligence cinese non ha abbandonato il fattore umano. Al contrario, ha potenziato le operazioni HUMINT attraverso l’uso massivo di piattaforme digitali e l’intelligenza artificiale.
L’MSS ha industrializzato il processo di reclutamento online, trasformando piattaforme professionali come LinkedIn in vasti terreni di caccia per fonti umane.
Profili sintetici e AI: l’uso di immagini generate dall’AI per creare foto profilo di recruiters o consulenti inesistenti è ormai standard. Questi profili, spesso femminili e attraenti (es. i casi “Amanda Qiu” e “Shirly Shen” segnalati dall’MI5), presentano credenziali educative e lavorative impeccabili per generare fiducia immediata.
Il Funnel di reclutamento
Contatto iniziale: richiesta di connessione generica, complimenti per il background professionale.
L’esca: offerta di opportunità di consulenza ben retribuite per think tank o società di analisi fittizie. La richiesta iniziale è spesso innocua (es. un report generale sul settore energetico).
Coltivazione e switching: una volta stabilito il rapporto e pagato il primo compenso, la comunicazione viene spostata su canali criptati (WeChat, Telegram, email personali).
Coercizione o incentivazione: le richieste diventano progressivamente più sensibili, passando da analisi open-source a informazioni riservate o interne, sfruttando la leva finanziaria o psicologica creata.
Spionaggio scientifico: università e tecnologie dual-use
L’acquisizione di tecnologie dual-use rimane una priorità. Casi recenti in Europa (Germania e Regno Unito) hanno mostrato come l’MSS utilizzi partnership accademiche apparentemente legittime per scopi militari.
Il caso tedesco: nel 2024, è emersa una rete in cui un’azienda di facciata tedesca, controllata dall’MSS, commissionava a università locali studi su componenti meccaniche avanzate. Sebbene presentati come ricerca civile, i componenti erano critici per i motori delle navi da guerra cinesi. Questo sfrutta la difficoltà delle università nel distinguere tra ricerca di base e applicazione militare.
Pressione sugli Studenti: la Legge sull’Intelligence Nazionale viene usata per esercitare pressione sulla diaspora cinese, inclusi studenti e ricercatori all’estero, obbligandoli a fornire dati o accessi ai laboratori ospitanti sotto la minaccia di ripercussioni sulle famiglie in patria.
Intelligenza artificiale: dalla sperimentazione all’operatività
L’integrazione dell’AI nelle operazioni di intelligence cinesi sta passando dalla fase sperimentale a quella operativa, con impatti profondi sulla velocità e la scala delle attività. L’MSS dispone di accesso a enormi dataset rubati nel corso degli anni (OPM, Equifax, Marriott, dati sanitari). L’uso di algoritmi di Machine Learning e Big Data Analytics permette di correlare questi dati disparati per identificare ufficiali di intelligence stranieri (incrociando dati di viaggio e finanziari), individuare vulnerabilità personali nei potenziali target di reclutamento (debiti, problemi di salute, vizi), automatizzare la sorveglianza interna ed esterna, elaborando flussi video e comunicazioni su scala nazionale.
LLM e guerra cognitiva: disinformazione automatizzata
Il PLA e l’industria della difesa stanno adattando Large Language Models (LLM) per applicazioni di intelligence militare.
Analisi Automatizzata: utilizzo di LLM per processare enormi quantità di intelligence open-source (OSINT) e generare report sintetici per i comandanti.
Disinformazione: creazione automatizzata di contenuti credibili (testi, deepfake audio/video) per campagne di influenza (cognitive warfare), mirate a manipolare l’opinione pubblica e seminare discordia nelle società avversarie.
Conclusioni: dalla preparazione alla postura di guerra
L’apparato di intelligence della Repubblica Popolare Cinese ha completato la sua transizione verso una postura di guerra. Le capacità dimostrate nel 2024-2025 non sono più compatibili con la sola definizione di spionaggio; rappresentano una preparazione attiva del campo di battaglia globale. La ristrutturazione del PLA, con la creazione della Forza di Supporto Informativo e della Forza del Cyberspazio, ha rimosso gli ostacoli burocratici all’integrazione delle operazioni cyber-cinetiche. Tecnologicamente, la padronanza delle vulnerabilità zero-day, l’uso creativo di botnet su dispositivi edge e la capacità di penetrare le infrastrutture critiche alla base (ISP, Identity Provider) conferiscono alla Cina un vantaggio asimmetrico significativo. L’orizzonte temporale del 2027, legato alle ambizioni su Taiwan, suggerisce che queste attività di pre-posizionamento (come Volt Typhoon e Salt Typhoon) continueranno ad intensificarsi. Per le nazioni occidentali, la mitigazione richiede un approccio olistico che vada oltre la semplice cybersecurity tecnica, includendo una rigorosa revisione delle catene di approvvigionamento, una maggiore contro-intelligence nel settore accademico e una resilienza sociale contro le operazioni cognitive.
Bibliografia
PLA in Transition: U.S. Reports on China’s Military (2020–2025) – Beyond the Horizon ISSG, https://behorizon.org/pla-in-transition-u-s-reports-on-chinas-military-2020-2025/
A New Step in China’s Military Reform – NDU Press, https://ndupress.ndu.edu/Media/News/News-Article-View/Article/4157257/a-new-step-in-chinas-military-reform/
China-Linked Cyber Operations Targeting US Critical Infrastructure – NJCCIC – NJ.gov, https://www.cyber.nj.gov/threat-landscape/nation-state-threat-analysis-reports/china-linked-cyber-operations-targeting-us-critical-infrastructure
PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure | CISA,https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
China’s Latest Military Reorganization Terminates the PLA SSF & launches Three New Arm Forces based on it: Strategic implications of the PLA’s latest Reforms and Structural changes – Usanas Foundation, https://usanasfoundation.com/chinas-latest-military-reorganization-terminates-the-pla-ssf-launches-three-new-arm-forces-based-on-it-strategic-implications-of-the-plas-latest-reforms-and-structural-changes
China’s new Information Support Force – The International Institute for Strategic Studies, https://www.iiss.org/online-analysis/online-analysis/2024/05/chinas-new-information-support-force/
Volt Typhoon targets US critical infrastructure with living-off-the-land techniques | Microsoft Security Blog, https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/
Salt Typhoon Hacks of Telecommunications Companies and Federal Response Implications, https://www.congress.gov/crs-product/IF12798
Chinese spies are trying to reach UK lawmakers via LinkedIn, MI5 warns | PBS News, https://www.pbs.org/newshour/world/chinese-spies-are-trying-to-reach-uk-lawmakers-via-linkedin-mi5-warns
China’s PLA Leverages Generative AI for Military Intelligence: Insikt Group Report, https://www.recordedfuture.com/research/artificial-eyes-generative-ai-chinas-military-intelligence
The Strategic Support Force and the Future of Chinese Information Operations – The Cyber Defense Review, https://cyberdefensereview.army.mil/Portals/6/Documents/CDR%20Journal%20Articles/The%20Strategic%20Support%20Force_Kania_Costello.pdf
Germany and Britain move in on suspected Chinese spies | Courthouse News Service, https://www.courthousenews.com/germany-and-britain-move-in-on-suspected-chinese-spies/
Chinese scientific espionage in Germany: what next? – Science|Business https://sciencebusiness.net/universities/chinese-scientific-espionage-germany-what-next
The AI-Surveillance Symbiosis in China, https://bigdatachina.csis.org/the-ai-surveillance-symbiosis-in-china/
How to tackle the data collection behind China’s AI ambitions – Brookings Institution, https://www.brookings.edu/articles/how-to-tackle-the-data-collection-behind-chinas-ai-ambitions/
