Un rapporto congiunto delle agenzie di intelligence di Stati Uniti, Five Eyes, Giappone, Europa ed Italia attribuisce a gruppi hacker sponsorizzati dalla Cina una campagna globale di cyberspionaggio attraverso una risposta coordinata senza precedenti
Il cyberspazio torna al centro della competizione geopolitica globale, e la Cina è nuovamente sul banco degli imputati.
Il “Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System”, diffuso dalle principali agenzie di intelligence e cybersicurezza di Stati Uniti, Five Eyes, Giappone, Europa e Italia ha reso pubblico il quadro di una campagna malevola su scala planetaria, attribuita a gruppi di hacker sponsorizzati da Pechino.
Il report parla chiaro: gli attacchi sono stati condotti da gruppi noti alla comunità di cybersecurity con sigle evocative – Salt Typhoon, Operator Panda, RedMike, UNC5807 e GhostEmperor – che da anni vengono monitorati dagli analisti. Non si tratta di operazioni isolate, ma di un cluster coerente di campagne riconducibili a entità con base in Cina, spesso aziende di facciata che operano in stretta connessione con il Ministero della Sicurezza di Stato e con l’Esercito Popolare di Liberazione.
Lo spionaggio digitale
Le incursioni cibernetiche hanno preso di mira reti di telecomunicazioni, infrastrutture militari, trasporti e persino strutture alberghiere. Obiettivi apparentemente eterogenei, ma accomunati da un valore strategico per l’intelligence. Controllare i backbone delle comunicazioni, manipolare i router degli operatori, mantenere accesso invisibile a infrastrutture vitali significa disporre di un sistema globale di sorveglianza capace di tracciare spostamenti, comunicazioni e attività di masse e di target sensibili in ogni angolo del mondo.
Il dettaglio che emerge con più forza non è tanto la raffinatezza tecnica degli attacchi, quanto la loro semplicità disarmante. Nessuna arma zero-day. Gli Apt cinesi hanno fatto leva su falle già note da anni in sistemi Cisco, Palo Alto o Ivanti. Un dato che sottolinea la fragilità delle difese occidentali, ancora rallentate nell’applicazione delle patch. Una volta penetrati, i gruppi manipolano configurazioni di rete, aprono tunnel cifrati e lasciano backdoor dormienti capaci di rimanere invisibili per anni.
Come indicato dai vari servizi di intelligence nel rapporto, l’operazione si collega a tre aziende con sede in Cina – Sichuan Juxinhe, Beijing Huanyu Tianqiong e Sichuan Zhixin Ruijie – che forniscono tecnologie e servizi al Ministero della Sicurezza di Stato e all’Esercito Popolare di Liberazione. Un modus operandi conosciuto ed in continuità col modello civil-military fusion con cui Pechino integra l’ecosistema privato nella propria macchina di intelligence.
Fare fronte unito
La scelta di un fronte così ampio di agenzie, dai Five Eyes a Polonia, Spagna, Giappone e Italia, indica un livello elevato di fiducia nell’attribuzione e una volontà politica di esporre Pechino a livello internazionale.
Dagli apparati di sicurezza dei Five Eyes e dei membri Aukus, che registrano un incremento dell’aggressività delle operazioni cinesi sul proprio territorio, fino alle agenzie di intelligence europee ed americane, che monitorano e convivono da anni con ingerenze politiche, cibernetiche e mediatiche sempre più penetranti e diversificate: raramente un fronte così ampio di servizi di intelligence occidentali e asiatici si è mosso in modo coordinato per denunciare pubblicamente un’operazione cinese.
Se letta in questa direzione, a meno di due mesi dall’arresto su mandato statunitense di Xu Zewei a Malpensa, ritenuto parte del gruppo hacker Hafnium (noto anche come Silk Typhoon), la decisione italiana di firmare il documento congiunto assume ulteriore rilievo. Quello di una presa di posizione netta e compatta – assieme agli Alleati atlantici e a gran parte dei Paesi europei – per una condanna ufficiale, mirata a erodere la credibilità della narrativa di Pechino, che da anni nega ogni responsabilità.
Stati Uniti e i partner atlantici cercano di contenere l’espansione cinese non solo sul piano economico e militare, ma anche in quello digitale, cibernetico e tecnologico, dove le frontiere sono più sfumate e le operazioni di spionaggio si confondono dietro innovazioni tecnologiche o tra le vulnerabilità quotidiane delle infrastrutture globali. Compagnie telefoniche, reti governative, infrastrutture militari, trasporti e perfino il settore alberghiero.
Un mosaico di target estremamente eterogeneo ma che, se ricomposto, mostra come Pechino stia tentando di realizzare un proprio Panopticon su scala globale, attraverso geolocalizzazioni di massa, monitoraggio di traffico Internet, spostamenti ordinari, registrazione telefoniche. Con i dati e le informazioni a rientrare nuovamente al centro del terreno di contesa tra potenze.
Il targeting di obiettivi che appartengono a settori o domini tra loro completamente diversi e non in comunicazione e la numerosità degli attacchi – molti e non dirompenti ma con effetti erosivi lenti e graduali – renderebbero più complesso e lento individuare gli attacchi e identificare i responsabili.
Il documento congiunto è la fotografia di un fronte unito e consapevole della natura delle minacce rivolte oggi all’Occidente, che fanno della dispersione e della gradualità i loro perni, mostrando consapevolezza diffusa e difesa collaborativa e partecipativa.
