Dimenticate l’immagine dell’hacker che entra nei sistemi, ruba dati e scompare. Le operazioni cinesi più sofisticate oggi agiscono con un obiettivo diverso: restare dentro i sistemi violati. Invisibili, dormienti, pronte ad attivarsi solo quando il quadro geopolitico lo renderà necessario.
È questo il nuovo volto della cyberguerra tra Stati Uniti e Cina, e riguarda direttamente infrastrutture critiche, agenzie federali, reti ferroviarie, porti e perfino acquedotti.
Lo conferma una nuova campagna individuata da Microsoft e da Eye Security, società olandese di sicurezza informatica. Almeno tre gruppi di hacker legati allo Stato cinese hanno recentemente sfruttato falle nei server SharePoint, violando oltre 400 sistemi.
Il dettaglio più inquietante? I cybercriminali non solo hanno bucato le difese ma hanno anche rubato le machine keys, un tipo di chiave che, se non rigenerata manualmente, consente di rientrare nei sistemi anche dopo la correzione delle vulnerabilità.
I tre gruppi hacker
A rendere ancora più complesso il quadro è la presenza ormai consolidata di tre team operativi ben distinti all’interno dell’apparato cinese.
Il primo è noto come Volt Typhoon: specializzato nell’infiltrazione di infrastrutture critiche, agisce penetrando strumenti di rilevamento degli endpoint per mimetizzarsi nei sistemi di gestione di oleodotti, reti ferroviarie, porti e impianti idrici. La sua missione è chiara: restare dentro, creare le condizioni per potenziali azioni distruttive future, soprattutto in uno scenario di guerra per Taiwan.
Il secondo gruppo, Salt Typhoon, lavora secondo una logica più tradizionale: spionaggio puro. È lo stesso che avrebbe intercettato i cellulari del presidente Trump, del vicepresidente Vance e di altri alti funzionari, fino a quando l’FBI non ha dichiarato la minaccia “in gran parte contenuta”.
Il terzo gruppo, Silk Typhoon, è quello oggi più attivo. Collegato alla clamorosa violazione del Dipartimento del Tesoro e già responsabile degli attacchi a Microsoft Exchange nel 2021, ha fatto leva su vulnerabilità zero-day per accedere alle reti.
Ma ciò che lo rende davvero inquietante è un tratto raro nel panorama dello spionaggio digitale: Silk Typhoon è legato a più di dieci brevetti ufficiali, registrati per sviluppare strumenti di attacco avanzati, tra cui software per crittografare i backup, eseguire analisi forensi su telefoni e router, e decriptare dischi rigidi. Un arsenale in piena regola, sotto copertura istituzionale.
Washington taglia, Pechino investe
Dietro l’evoluzione della cyber-intelligence cinese non ci sono più solo apparati governativi: ci sono anche contractor, startup, società informatiche di Shanghai e Chengdu.
Questo outsourcing ha un doppio vantaggio per Pechino: da un lato, estende le proprie capacità tecniche; dall’altro, crea un paravento che rende più difficile attribuire direttamente le operazioni al governo centrale.
Una recente incriminazione del Dipartimento di Giustizia USA ha rivelato come il Bureau per la Sicurezza di Stato di Shanghai abbia diretto dipendenti di aziende tech per attaccare computer di università e imprese americane. E non è un caso isolato. Documenti trafugati nel 2024 dalla società privata I-Soon hanno mostrato che bersagli degli hacker includevano agenzie governative, quotidiani e istituti di ricerca statunitensi.
Il tutto avviene mentre gli Stati Uniti di Trump stanno attraversando una fase di indebolimento delle proprie difese.
Come abbiamo già scritto nelle scorse settimane, almeno un terzo del personale della CISA (l’agenzia statunitense che si occupa della sicurezza cibernetica), ha lasciato il proprio posto tra pensionamenti anticipati, dimissioni o tagli. A peggiorare la situazione, la Casa Bianca ha annunciato ulteriori riduzioni di budget.
Diversa la situazione sul fronte offensivo, dove un miliardo di dollari è stato stanziato all’interno del Big Beautiful Bill per rafforzare le capacità cyber del Pentagono. Una mossa che rivela come la priorità stia passando dalla difesa alla deterrenza.
Sul lungo periodo, il confronto tra potenze si giocherà anche sul terreno dell’IA. Le agenzie di intelligence di tutto il mondo stanno sperimentando nuovi strumenti algoritmici e gli hacker di Stato, cinesi in primis, stanno già mettendo le mani su queste tecnologie.
