Esiste un network globale di finte testate locali che nel flusso di contenuti disseminano propaganda del regime cinese, attacchi ai dissidenti, teorie del complotto e disinformazione. E passa da agenzie private. L’autore della scoperta, Alberto Fittarelli, ricercatore senior di Citizen Lab, laboratorio dell’Università di Toronto, spiega a Formiche.net come funziona l’apparato e solleva una questione per i decisori politici
Lo scorso ottobre un’indagine del Foglio aveva scoperto una piccola rete di siti utilizzata per diffondere propaganda cinese in Italia. Sei pagine che si spacciano per testate giornalistiche italiane a vocazione locale, con vesti grafiche e contenuti diversi, ma accomunate dallo stesso modus operandi e dallo stesso servizio di hosting (la “casa” dei siti web) riconducibile a una realtà cinese. Oggi, una nuova indagine di Citizen Lab rivela che l’operazione è molto più vasta: interessa più lingue e almeno trenta Paesi in quattro continenti. Una macchina complessa di disinformazione, in grado di esportare le narrazioni cinesi in maniera capillare e mirata.
In Italia questi siti hanno nomi come “Venezia Post”, “Napoli Money” e “Roma Journal”. Si presentano tutti come un “noto sito web di notizie in Italia, che riporta importanti notizie su politica, economia, tecnologia, affari e vita per te”. La combinazione di contenuti è decisamente inusuale: spazia da articoli copiati da testate autentiche (senza attribuzione) a comunicati stampa commerciali (spesso promozioni di criptovalute), passando da pezzi ripresi dai media statali cinesi come Cgtn e Global Times (questi, sì, citati). E poi attacchi diretti ai dissidenti del regime di Pechino, articoli di pura disinformazione e teorie complottiste in salsa antiamericana.
Partendo dagli indirizzi IP dei sei siti italiani, è stato Alberto Fittarelli – ricercatore senior di Citizen Lab, un laboratorio dell’Università di Toronto che lavora sull’intersezione tra tecnologie dell’informazione, diritti umani e sicurezza globale – a mappare la rete degli equivalenti internazionali. Tutti riconducibili al servizio cloud del titano tech cinese Tencent, collegato dalla Cia ai servizi segreti di Pechino. L’intera rete, che l’esperto ha soprannominato Paperwall, conta 123 siti che operano alla stessa maniera: si spacciano per testate locali, ripubblicano con frequenza una varietà di contenuti non originali nella lingua di riferimento, e nel flusso di contenuti inseriscono narrative pro-Cina.
ARMI DI DISINFORMAZIONE DI MASSA
“Un utente italiano vede notizie reali, copiate e incollate da siti autentici, senza fonte riportata. In mezzo vengono disseminati i semi di disinformazione. Questi rimangono in lingua inglese su tutti i siti Paperwall, a prescindere dal Paese”, spiega Fittarelli a Formiche.net. Un esempio? “La teoria complottista secondo cui il governo americano conduce esperimenti sugli essere umani al confine tra Thailandia e Myanmar. O attacchi alla società civile contro alcune figure note per essere critiche nei confronti del governo di Pechino, che vengono prese di mira attraverso articoli anonimi con attacchi a livello personale e professionale per demolirne la reputazione”.
È il caso di una virologa di origine cinese, Li Meng Yan, nota per aver accusato il governo cinese di aver nascosto le origini artificiali del Covid-19. Teoria smentita dalla comunità scientifica internazionale; ma questo non ha impedito ai siti Paperwall di condurre una finta campagna pubblica di pressione per screditarla e impedire che le venisse assegnato un posto alla University of Pennsylvania. Questi attacchi ad hominem vengono ripresi da altri siti apparentemente indipendenti, e il rischio, come spiega Fittarelli, è che finiscano su testate genuine: “Nel momento in cui questo succede esplode il caso, e l’obiettivo è raggiunto”.
RESPIRO INTERNAZIONALE
Lo stesso accade altrove nel mondo. In Europa spiccano Regno Unito (undici siti, tra cui “London Club” e “BritishFT”), Francia (dieci siti, “Provence Daily” “Eiffel Post”), Italia e Spagna (cinque, “Cordova Press”, “Sevilla Times”), ma ci sono altri siti Paperwall nella maggior parte dei Paesi europei. Fuori dal Vecchio continente figurano sei siti in Turchia (“Cappadocia Post”, “Anadolu Ha”), altrettanti in Brasile (“Financeiro Post”, “Brasil Industry”), diciassette in Corea del Sud (“Seoul PR”, “Incheon Focus”), sedici in Giappone (“Nikko News”, “Fujiyama Times”), quindici persino in Russia (“Find Moscow”, “Rostov Life”) e altri ancora in Messico, Argentina, Stati Uniti ed Ecuador.
RISALIRE ALL’ORIGINE
La fonte, però, sembra essere una sola. A novembre il Centro nazionale per la cybersicurezza coreano aveva pubblicato un rapporto smascherando i siti Paperwall che si spacciavano per organi di informazione locali – suscitando l’attenzione di Fittarelli, che ha riscontrato le similitudini con i sei siti italiani identificati dal Foglio e deciso di avviare la ricerca. Il rapporto riconduceva tutti i siti a una società di pubbliche relazioni cinese chiamata Haimai (abbreviazione di Shenzhen Haimaiyunxiang Media Co. Ltd., o 深圳市海卖云享传媒有限公司). Si tratta di un’azienda di pubbliche relazioni con sede a Shenzhen, nata nel 2019, che pubblicizza la vendita di “servizi di posizionamento promozionale in diversi Paesi e lingue”. Il team di Citizen Lab ha trovato una serie di legami tra l’infrastruttura digitale di Haimai e dei siti Paperwall, tra cui lo stesso identificativo pubblicitario.
I PRECEDENTI…
Ci sono anche collegamenti con campagne del passato, spiega Fittarelli. Per esempio, certi contenuti di 98 dei 123 domini Paperwall rimandano direttamente al sito di Times Newswire, una presunta agenzia stampa già nota agli addetti ai lavori. È stata segnalata per la prima volta nel 2023 da Mandiant, società di cybersicurezza di proprietà di Google, che ha scoperto la diffusione dei suoi contenuti attraverso una rete di sottodomini di testate statunitensi legittime, alimentando una campagna di influenza che l’azienda ha ribattezzato HaiEnergy e che ha colpito, tra gli altri, l’ex Speaker della Camera Nancy Pelosi.
Mandiant ha attribuito la campagna a Haixun, un’altra agenzia di relazioni pubbliche basata in Cina, ma non ha prove sufficienti per confermare in via definitiva il suo legame con Times Newswire. Allo stesso modo, Citizen Lab non può attribuire con certezza l’operato di Paperwall agli stessi attori dietro a Times Newswire. Però esistono tracce digitali che collegano le due entità, e una riporta allo stesso Tencent Building da cui originano i siti Paperwall. Anche i contenuti si richiamano l’un l’altro: Times Newswire ha pubblicato, e poi eliminato, una serie di attacchi ad hominem contro Li Hongzhi, fondatore e leader del movimento religioso Falun Gong, bandito dalle autorità cinesi nel 1999 e oggetto di persecuzione da allora.
L’operazione Paperwall non denota un particolare salto di qualità nella forma e nella sostanza della propaganda, spiega il ricercatore. Questo non vuol dire che non ci sia motivo di preoccupazione. L’altro precedente da tenere a mente è Secondary Infektion, una campagna di interferenza e attacchi ai danni di dissidenti del Cremlino, esposta da Graphika e Meta nel 2019. Si basava su una rete immensa di account social di poco conto, che ha passato sei anni a diffondere propaganda a bassa intensità in sette lingue e 300 piattaforme diverse, senza particolare successo – finché non ha amplificato la diffusione di documenti esfiltrati dal governo britannico.
… E LE NOVITÀ
C’è di buono che l’impatto di Paperwall non sembra essere particolarmente elevato, rileva l’esperto. “Non hanno un traffico enorme, stando a quanto possiamo misurare con strumenti open source”. La ricerca di Citizen Lab non ha nemmeno identificato una campagna di attacchi Paperwall che sia riuscita nei suoi intenti. Però “l’operazione continua, cresce, aggiunge nuovi siti in continuazione, e ogni ondata di registrazione si rivolge tipicamente a un Paese diverso. Ci siamo dovuti fermare a fine dicembre 2023 per scrivere il rapporto, ma non escludo che ne siano comparsi degli altri nel frattempo”.
La novità dell’approccio di Paperwall è proprio la massa di nuovi siti, registrati ex novo per le varie occasioni, che poi rimangono attivi nel tempo, continuando a pubblicare contenuti ogni giorno grazie allo scraping (ossia, razziando da altrove sulla rete). Nel tempo, queste “testate” possono risultare sempre più autentiche agli occhi degli utenti ignari. “Questa non è un’escalation ma un cambiamento di tattica: HaiEnergy usava un’infrastruttura digitale già esistente, Paperwall ne sta creando una nuova”, evidenzia Fittarelli.
COME REAGIRE?
Nel caso del governo cinese, è risaputo che si appoggi anche a realtà private per le sue operazioni di influenza all’estero. Specie nell’individuare e colpire i dissidenti, come ha rilevato anche il Global Engagement Center del Dipartimento di Stato Usa. Fittarelli suppone che un’agenzia privata (ammesso e non concesso che sia legittima) possa mettere al servizio delle autorità una serie di conoscenze e tecniche adatte alla diffusione all’estero, oltre allo scudo della plausible deniability. Del resto, la stessa Haimai pubblicizza come un servizio l’accesso alla rete Paperwall – non esplicitamente, ma facendo vaghi riferimenti al piazzamento di contenuti sui “principali media” delle aree geografiche di riferimento.
Si può quasi parlare di disinformation-as-a-service: così come avviene con gli attacchi ransomware, esiste una “commistione di intenti e di finalità” tra il politico e il finanziario che rende difficile definire queste realtà e dunque mettere in campo contromisure, sottolinea l’esperto. Ma il pericolo è innegabile, come evidenziato in un precedente rapporto del Citizen Lab su una campagna di doxxing, mai finita del tutto, che dal 2019 discredita i manifestanti pro-democrazia di Hong Kong.
Quel documento esplora anche le eventuali soluzioni da parte dei governi. E l’esperto rilancia la questione ai regolatori. “Ci sono conversazioni da fare, ed è importante che la plausible deniability delle agenzie in questione non limiti un’eventuale ipotesi di contromisure”. Ovvero: non potendo stabilire con certezza che ci sia il governo cinese dietro a Paperwall, si deve prendere atto che questo formato consente allo sponsor di disinformazione di restarne fuori?
Immagine generata con DALL-E