Il caso Salt Typhoon rivela la profondità della strategia cibernetica cinese. Spionaggio, preposizionamento dentro infrastrutture vitali occidentali, con la possibilità di sabotaggio e coercizione in caso di crisi
Il caso Salt Typhoon, capace di restare dentro i sistemi avversari per anni senza farsi notare, ha evidenziato chiaramente come Pechino avesse iniziato a muoversi nelle pieghe del perimetro digitale occidentale meglio di quanto non si fosse imparato a difenderlo.
Occorre, però, collegare i tasselli di una strategia cinese che da anni punta a pre–posizionare accessi e malware in settori critici (energia, acqua, trasporti, pipeline) con un obiettivo che va oltre lo spionaggio tout court, convergendo talvolta nel sabotaggio potenziale e nella coercizione strategica in caso di crisi. Non quando, come e se attivare il codice, ma la sola possibilità che questo accada ha la capacità di alterare il calcolo politico.
La scacchiera
L’operazione Salt Typhoon ed i gruppi hacker cinesi hanno a che fare direttamente o indirettamente con il ministero della Sicurezza dello Stato (Mss). Fondato nel 1983 per tenere a bada dissidenti e minacce interne al Partito, il Mss ha a lungo vissuto nell’ombra della macchina militare cinese, per poi tornare al centro della logica di intelligence di Pechino grazie alla visione di Xi Jinping, che considera la sorveglianza digitale un fronte essenziale ed esistenziale per la sicurezza nazional. Così, dal 2012, ha epurato i vertici infedeli del ministero, limitato il ruolo dell’esercito nel cyber e imposto che l’intelligence civile diventasse il centro delle ambizioni tecnologiche di Pechino. La verticalizzazione della catena di comando ha permesso una struttura a scacchiera, nella quale il potere centrale può muovere le varie diramazioni, permettendo di muovere le proprie pedine con estrema agilità, sia all’interno che all’esterno.
Dalle infrastrutture digitali
Il punto di forza cinese sta nella simmetria rovesciata tra il suo modello autoritario e le democrazie liberali. In patria, la Grande Muraglia Digitale è un filtro preventivo capace di individuare codice malevolo prima che arrivi ai sistemi critici. In Occidente, le reti delle infrastrutture essenziali sono per lo più in mano a più operatori privati con livelli diseguali di maturità, difesa e resilienza cyber. E lo Stato non può monitorarle in tempo reale senza consenso esplicito, arrivando spesso ex post. La conseguenza è che le campagne di pre–posizionamento di malware nelle infrastrutture digitali, energetiche, idriche e di trasporto rappresentano opzioni di sabotaggio credibili e preoccupanti.
…. a quelle urbane
A sottolineare la postura sottosoglia di Pechino è il caso diplomatico inglese. A Londra, il progetto per la nuova ambasciata cinese a Royal Mint Court, tra Tower e City, ha acceso un dibattito che travalica la pianificazione locale di un progetto urbanistico di 56.000 metri quadrati nel cuore della città. Infatti, oltre a uffici e residenze, i piani prevedono tunnel e strutture sotterranee che offrirebbero a Pechino una base ideale per attività di intelligence, anche considerata la collocazione del complesso, che sorge sopra cavi in fibra ottica che collegano la City e Canary Wharf, snodi vitali per la finanza globale. Intercettazioni o accessi clandestini a queste linee potrebbero compromettere non soltanto la sicurezza britannica, ma anche la condivisione di informazioni con gli Stati Uniti e l’intera alleanza Five Eyes.
Oltre a Salt Typhoon
Sul terreno operativo, l’ultimo anno ha offerto un campionario da manuale di Ttp cinesi. Analisi dell’Insikt Group di Recorded Future hanno infatti attribuito a un cluster statale, RedNovember, una campagna estesa contro governi, difesa, aerospazio e manifattura avanzata tra 2024 e 2025. Il gruppo ha delle precise strategie operative, privilegiando gli apparecchi ai margini delle reti (come gli edge device, Vpn, firewall, bilanciatori, server di posta). Questi dispositivi, spesso poco monitorati o aggiornati (telemetria scarsa e patching discontinuo), vengono dunque attaccati attraverso strumenti open source e silenziosi (SparkRAT e Pantegana). Dunque, quando una nuova vulnerabilità diventa pubblica, il gruppo cinese lancia ondare di attacchi in massa contro il maggior numero di target possibili. Maggiore è il numero dei bersagli e più alte saranno le probabilità di successo. Gli obiettivi reali, come evidenzia il report, includono aziende che lavorano per la difesa statunitense, società spaziali europee, ministeri degli Esteri in Asia e Sud America, grandi studi legali e aziende di servizi/utility. Le campagne seguono eventi geopolitici caldi, ad esempio le tensioni intorno a Taiwan a dicembre 2024 e gli avvicendamenti politici a Panama nella primavera 2025.
Il confronto è tra sistemi
I comunicati congiunti sono stati un primo passo di coesione e consapevolezza diffusa, insieme alla comune attribuzione a Pechino delle ripetute e prolungate azioni cibernetiche ostili. La realtà, in poche parole, è che autocrazie antioccidentali puntano oggi ad erodere l’integrità delle democrazie liberali anche attraverso gruppi di hacker collegati al proprio apparato statale, veri e propri cyber soldati. Le democrazie liberali si consultano e le autocrazie agiscono. Coniugare pensiero e azione, dotarsi di proprie divise cibernetiche e non rendere subito pubblici i vulnus digitali che necessitano di aggiornamenti, ma proteggere queste comunicazioni in un portale apposito, magari con requisiti e credenziali di accesso, sarebbero primi passi forse utili. Le minacce ibride, oggi, sono lo specchio di un confronto che, più che militare o scientifico, sembra essere tra sistemi.
