Negli ultimi anni il panorama della cyber sicurezza ha visto un crescente coinvolgimento di aziende cinesi legate ad attività di cyber spionaggio, in particolare attraverso gruppi noti come Silk Typhoon, conosciuto anche come Hafnium. Un recente rapporto ha rivelato che queste aziende hanno depositato oltre quindici brevetti relativi a strumenti avanzati per l’intrusione e la raccolta di dati, portando alla luce una vera e propria infrastruttura industriale al servizio delle operazioni informatiche offensive.

I brevetti analizzati includono tecnologie per la raccolta cifrata di dati da endpoint, strumenti di forensics per dispositivi Apple, e soluzioni di accesso remoto su router e dispositivi smart home. Questi strumenti confermano la sofisticazione dei mezzi a disposizione di Silk Typhoon e la loro capacità di colpire bersagli sensibili su scala globale. L’analisi delle attività delle aziende coinvolte, come Shanghai Powerock Network Co. Ltd. e Shanghai Firetech Information Science and Technology Company, evidenzia un collegamento diretto con il Ministero della Sicurezza di Stato cinese (MSS), in particolare con la Shanghai State Security Bureau.

Strategie di attribuzione delle minacce

La strategia di attribuzione delle minacce informatiche si è tradizionalmente concentrata sul collegare cluster di attacchi a singoli gruppi hacker, ma le recenti indagini mostrano l’importanza di mappare anche le aziende e le persone dietro questi gruppi. La relazione tra società private e apparati statali in Cina è spesso di tipo diretto: le aziende ricevono incarichi mirati dagli ufficiali MSS, instaurando così rapporti di fiducia continuativi e una collaborazione strutturata.

Documenti giudiziari statunitensi hanno recentemente accusato membri di queste aziende di aver orchestrato, nel 2021, una massiccia campagna di sfruttamento di vulnerabilità zero-day su Microsoft Exchange, nota come ProxyLogon. Successivamente, alcuni attori chiave sono transitati verso altre aziende del settore tecnologico cinese, dimostrando la mobilità e la resilienza di questa rete.

Non solo: altre indagini hanno svelato brevetti depositati per strumenti in grado di raccogliere “prove” da dispositivi Apple, router e sistemi di difesa informatica. Inoltre, Shanghai Firetech risulta impegnata nello sviluppo di soluzioni per operazioni di accesso ravvicinato su target di interesse, ampliando il ventaglio delle minacce.

Il portafoglio di strumenti e capacità di queste aziende supera quanto finora pubblicamente attribuito a Silk Typhoon, suggerendo che molte tecnologie potrebbero essere state vendute o condivise con altre divisioni del MSS, rendendo la mappatura delle minacce ancora più complessa e frammentata. La collaborazione tra imprese private e apparati di sicurezza cinese continua dunque a rappresentare una delle sfide più insidiose per la cyber sicurezza globale.