Hacker, quella strana (e pericolosa) alleanza Russia – Cina

Siamo in un’azienda italiana da quasi un miliardo di euro di fatturato, operante nel settore metalmeccanico. In una normale giornata di qualche mese fa scatta improvvisamente un segnale di allarme: qualcuno si è introdotto all’interno del sistema informatico. Non solo. 

I tecnici scoprono che gli intrusi erano entrati già una sessantina di giorni prima. Ma dopo un’approfondita analisi i manager dell’impresa sono tranquilli: gli hacker non hanno provocato alcun danno. Una tesi che l’amministratore delegato della società ripete a Mirko Gatto, fondatore dell’azienda specializzata in cybersecurity Yarix. Il quale però non è convinto: sospetta che le cose non siano andate così bene. E il suo team scopre in effetti che l’attacco era durato più di 60 giorni, era stato organizzato da un gruppo cinese, o collegato alla Cina, e il suo scopo era rubare know how.  Un’operazione condotta con estrema cura, esfiltrando pochi dati per volta. Il risultato? L’azienda tricolore si è trovata a competere su uno dei suoi mercati più importanti con prodotti identici ai suoi, realizzati da concorrenti cinesi che di fatto le avevano soffiato il posto. 

«Non è un caso isolato» racconta Gatto. «Una società italiana operante nei settori dei trasporti e della difesa ha subìto un attacco informatico che sembrava una classica richiesta di riscatto, mentre in realtà era solo una copertura che nascondeva un’azione di spionaggio industriale». Quello del furto delle informazioni strategiche per le imprese è uno dei numerosi fronti su cui si combatte una guerra silenziosa e sotterranea monitorata da centri specializzati come Yarix. Parte della società informatica Var Group, Yarix è uno dei più riconosciuti attori italiani nel settore della cybersecurity. Nel 2024 la sua sala di controllo ha analizzato complessivamente a livello globale oltre 485 mila attività anomale o sospette e quasi uno su tre di questi eventi (141 mila, più 70 per cento sul 2023) è evoluto in una violazione che ha impattato la sicurezza delle imprese sotto attacco. 

Gli hacker cinesi sono particolarmente abili nello spionaggio industriale. Secondo il Global Threat Report 2025 della società statunitense CrowdStrike, la loro attività è cresciuta del 150 per cento nell’ultimo anno, con un aumento degli attacchi ai settori finanziario, manifatturiero, media e industriale fino al 300 per cento. Tra i gruppi più attivi c’è APT41, noto anche come Winnti, Blackfly, o Wicked Panda: spesso ruba proprietà intellettuale e utilizza una vasta gamma di tecniche sofisticate per mantenere la persistenza nelle reti delle vittime. Un’altra organizzazione cinese famosa è APT10 (o Menupass Team) responsabile di incursioni contro aziende dei settori costruzioni, ingegneria, aerospaziale e telecomunicazioni in Europa, Stati Uniti e Giappone.

Questo genere di operazioni da parte di hacker legati in qualche modo alle autorità cinesi si inserisce nel mezzo del sempre più grande fenomeno del cybercrime, che possiamo sommariamente suddividere in due grandi famiglie: la prima è rappresentata dagli attacchi informatici da parte di vere e proprie gang che si impossessano di dati aziendali cruciali e chiedono un riscatto (ransomware) oppure utilizzano le credenziali degli utenti per rivenderle o per prelevare direttamente dei fondi; la seconda invece è guidata dai cosiddetti hacktivisti, mossi da motivazioni politiche o ideologiche, e si propongono di rendere temporaneamente inaccessibili siti web di imprese e istituzioni, senza però compromettere l’integrità o la confidenzialità dei dati.   

Durante il 2024 sono stati mappati da Yarix 4.721 eventi ransomware a livello mondiale condotti da 92 gruppi di hacker. Tra questi, RansomHub si conferma il gruppo russo ransomware più attivo durante il 2024, contribuendo da solo al 9,8 per cento degli attacchi totali. L’Italia è il quarto Paese più interessato dai ransomware, dopo Stati Uniti, Regno Unito, Canada e prima della Germania. Sul fronte invece degli attacchi degli hacktivisti, i collettivi allineati con la Russia hanno concentrato la loro offensiva verso obiettivi ucraini, alleati del governo di Kiev e membri della Nato, giustificando le loro azioni come una risposta al coinvolgimento occidentale nella regione. Gruppi sostenitori del governo di Mosca hanno esteso la loro influenza anche oltre il conflitto Russia-Ucraina, mostrando l’appoggio a movimenti interni di alcuni Paesi che hanno causato disagi a livello nazionale (per esempio la protesta degli agricoltori in Europa) sovraccaricando con ondate di traffico vari siti e server per renderli inaccessibili. In rete operano, inoltre, attori pro-arabi e pro-musulmani che invece mirano a nazioni che hanno mostrato supporto politico o militare a Israele nel suo conflitto in corso contro Hamas. 

L’Italia è stato il quinto Paese più colpito dai gruppi hacktivisti durante il 2024, sia da collettivi filo-russi con motivazioni principalmente legate alla posizione italiana a supporto del governo di Kiev nel conflitto Russia-Ucraina, sia da collettivi appartenenti all’area Asia-Pacifico, volti al sostegno della popolazione palestinese e dunque contrari al sostegno italiano a Israele. Secondo le analisi di Yarix, il gruppo hacktivisti più attivo nel 2024 è stato il collettivo filorusso NoName057(16). Nei mesi scorsi sono state colpite dagli hacktivisti russi diverse banche italiane, tra cui Intesa Sanpaolo, Bper, Monte dei Paschi di Siena, Banca Popolare di Sondrio, Fineco e Fideuram; società del settore industriale e finanziario come Leonardo, Edison, Fininvest, Parmalat; varie aziende di trasporto pubblico; gli aeroporti di Milano Linate e Malpensa, i porti di Trieste, Taranto, Genova, Savona e Vado Ligure, causando rallentamenti e temporanei blackout dei siti web. Il caso dell’esfiltrazione di dati per danneggiare l’azienda di un Paese «nemico» e aiutarne un’altra di un Paese amico è qualcosa che si pone a metà strada tra attivismo sponsorizzato dallo stato e criminalità informatica a scopo di lucro. Un episodio famoso riguarda Volkswagen: tra il 2011 e il 2015, gli hacker cinesi del gruppo Panda al servizio del ministero della Sicurezza di Stato di Pechino hanno trafugato migliaia di documenti dell’azienda automobilistica tedesca. 

Accanto ai cinesi, gruppi di hacker russi, tra cui Fancy Bear, Void Blizzard (Laundry Bear) e Killnet, sono attori chiave in questo settore. Le loro operazioni sfruttano tecniche sofisticate per esfiltrare dati sensibili, che vengono poi monetizzati tramite vendite illecite su mercati del dark web o indirettamente tramite guadagni strategici di intelligence per Mosca. Le prove indicano che le agenzie di spionaggio cinesi e russe cooptano e sfruttano attivamente i cybercriminali, integrando le loro capacità in obiettivi strategici più ampi. Questa relazione simbiotica consente allo stato di beneficiare dell’efficienza e della scala del sottobosco criminale, fornendo al contempo ai criminali potenziale protezione o incentivi finanziari. 

Fancy Bear, per esempio, è collegato all’agenzia di intelligence militare russa, il Gru. Il suo obiettivo è la raccolta di intelligence, spesso con un focus sull’influenza politica e le intuizioni strategiche. Void Blizzard, tracciato anche come Laundry Bear dall’intelligence olandese, si concentra su settori tra cui governo, difesa, trasporti, media, organizzazioni non governative sanità. Un incidente nel settembre 2024 si è concluso con il furto dei dettagli di contatto di tutti gli ufficiali di polizia dei Paesi bassi. Killnet, invece, è emerso inizialmente come gruppo hacktivista pro-russo nel 2022 per poi passare dalle motivazioni patriottiche alla cybercriminalità a scopo di lucro.

I dati estratti sono diversi, spaziando da credenziali di alto valore e informazioni di identificazione personale a dati aziendali proprietari e intelligence strategica critica. Questi tipi di dati possiedono un grande valore, in grado di essere sfruttati per frodi finanziarie dirette, spionaggio aziendale o per fornire una significativa leva geopolitica. Il dark web funge da luogo centrale per la rivendita di informazioni rubate. La resilienza di questa infrastruttura illecita, nonostante gli sforzi delle forze dell’ordine, garantisce una fornitura continua di dati compromessi. Ormai è evidente che la minaccia per le imprese italiane sia presente, multiforme e in continua crescita. È fondamentale dare priorità a misure di cybersecurity robuste che tengano conto sia dello spionaggio sponsorizzato dallo stato che della cybercriminalità motivata finanziariamente. Volenti o nolenti siamo nel mirino e dobbiamo difenderci.