Negli ultimi mesi i riflettori si sono concentrati su una crescente attività cyber attribuita alla Cina: non si tratta più di semplici operazioni di spionaggio, ma di una vera e propria strategia di preparazione per il conflitto digitale — una “cyberguerra” silenziosa ma ben orchestrata.Il quadro generaleSecondo analisti e fonti governative, la Cina ha intensificato significativamente le sue operazioni contro gli Stati Uniti e i suoi alleati. Gruppi come Salt Typhoon, affiliati al Ministero della Sicurezza di Stato cinese, hanno penetrato decine di infrastrutture critiche — dalla rete telefonica all’energia — raccogliendo informazioni strategiche e aprendo canali per potenziali attacchi futuri. Secondo valutazioni americane, questi attori sono ben pre-posizionati: operano dentro le reti ospiti statunitensi per garantire accesso duraturo, mascherandosi come traffico locale per sfuggire ai sistemi di difesa. Sul piano delle tecniche e delle tattiche adottate, la strategia cinese si presenta come sofisticata e variegata, utilizzando principalmente:Zero‑day exploits. La possibilità di sfruttare delle vulnerabilità sconosciute per penetrare senza lasciare tracce;Phishing mirato. Conduzione di attività contro il settore dei semiconduttori a Taiwan, con malware come Cobalt Strike e backdoor personalizzate;Pre-posizionamento. Infiltrazione in infrastrutture di comando e controllo (C2) su server esterni prima della conduzione di un’attività operativa.Questo tipo di operazioni non rientra nella sfera dello “spionaggio tradizionale”: sono azioni che mirano a destabilizzare infrastrutture critiche e ottenere un vantaggio strategico effettivo. Sul piano degli obiettivi geopolitici, appare oltremodo evidente l’interesse su Taiwan, attualmente oggetto di numerosi attacchi cibernetici e verticalizzata sui settori della difesa, media, finanza e, soprattutto le industrie dei chip, in quest’ultimo caso, avente lo scopo di diminuire la dipendenza cinese da tecnologie estere. Verso gli Stati Uniti, gli obiettivi includono centrali elettriche, telecomunicazioni, trasporti e infrastrutture idriche — in vista di un possibile confronto geopolitico. Il concetto guida del Governo di Pechino è l’Integrated Network Electronic Warfare (Inew), ovvero basato sull’approccio di guerra cibernetica convergente con l’elettronica, volta a dominare l’informazione e paralizzare il sistema decisionale avversario. L’Esercito Popolare di Liberazione cinese (PLA) ha già istituito strutture dedicate sin dal 2011, e il governo dal 2017 – con Xi Jinping che ha ribadito la necessità di bilanciare le capacità offensive e difensive.Il 2017: l’anno della svolta per il Governo di PechinoPer anni, gli hacker cinesi hanno dominato la scena mondiale, conquistando costantemente i primi posti nelle più prestigiose competizioni di hacking al mondo. Ma dopo il 2017, la partecipazione dei cinesi alle competizioni informatiche si azzera misteriosamente. Nessuno sapeva perché, fino al 2019, quando una serie di eventi ha svelato una verità molto più oscura sulla strategia di guerra informatica cinese in continua evoluzione. Per comprenderne i motivi dobbiamo risalire a marzo del 2017, quando un team di hacker cinesi d’élite si reca a Vancouver, in Canada per partecipare ad uno degli eventi di hacking etico più noti: Pwn2Own, ovvero una competizione legale in cui gli hacker denunciano falle software, note come vulnerabilità zero-day, e vengono premiati con premi in denaro che vanno da 50.000 a oltre 1 milione di dollari. In realtà la loro missione era scoprire vulnerabilità in software e dispositivi di uso comune come Google Chrome, Microsoft Windows e Apple iPhone. Lo scopo del Pwn2Own è quello di segnalare le vulnerabilità riscontrate alle rispettive aziende tecnologiche in modo che possano correggerle prima che si verifichino sfruttamenti reali. Per anni, gli hackers cinesi hanno dominato la scena in questi eventi, spesso superando le loro controparti globali. Dopo il 2017, spariscono dalle competizioni del genere, ma la loro assenza non è passa inosservata soprattutto agli Stati Uniti. Nel 2018, Zhou Hongyi, Ceo di Qihoo 360, la principale azienda cinese di sicurezza informatica, rilascia una dichiarazione ai media cinesi: critica i gruppi hackers cinesi per aver messo in mostra le loro capacità a livello internazionale, definendo le loro vittorie “illusorie” e chiedendosi perché vulnerabilità così preziose venissero condivise per poche centinaia di migliaia di dollari, quando potrebbero valere miliardi. Dopo la sua dichiarazione, il governo cinese ha impone un divieto agli esperti di cybersecurity di partecipare agli hackathon internazionali. Successivamente al divieto, la Cina annuncia la propria competizione nazionale di hacking: la Tianfu Cup. Con ingenti premi in denaro e la partecipazione dei principali colossi tecnologici cinesi come Tencent, Alibaba e Qihoo 360, l’evento aveva lo scopo di trattenere i talenti dell’hacking di livello mondiale all’interno del Paese. Nel primo evento, tenutosi nel 2018, un ricercatore di Qihoo 360, Qi Jun, attraverso un iPhone di Apple, utilizzando Safari, scopre una falla che gli permetteva di prendere il controllo remoto di qualsiasi iPhone semplicemente chiedendo all’utente di visitare una pagina web compromessa, senza che l’utente se ne accorgesse. La vulnerabilità fu denominata, a ragion veduta, “Chaos”.A differenza delle altre competizioni internazionali, in cui le vulnerabilità vengono comunicate responsabilmente all’azienda, gli exploit della Tianfu Cup vengono consegnati direttamente ed unicamente al governo cinese, una differenza che ha provocato conseguenze enormi. Nel gennaio 2019, Apple corregge la vulnerabilità scoperta da Qi Jun, ma nell’agosto dello stesso anno, Google rivela che gli iPhone, a livello planetario, erano stati oggetto di una massiccia campagna di hacking e uno degli exploit chiave corrispondeva esattamente alla vulnerabilità “Chaos” di Qi Jun. Ulteriori indagini hanno confermato che l’attacco aveva preso di mira i musulmani uiguri in Cina, una comunità minoritaria sottoposta a gravi violazioni dei diritti umani da parte del governo cinese a partire dal 2014, ma erano stati oggetto dell’attacco anche giornalisti, attivisti e critici del regime cinese. Nel 2024, una massiccia fuga di dati dall’azienda cinese di sicurezza informatica i-Soon ha evidenziato una verità agghiacciante: email interne, file di sviluppo di spyware e contratti con il Ministero della Pubblica Sicurezza cinese hanno rivelato che l’azienda stava sviluppando strumenti di sorveglianza che venivano utilizzati dall’Esercito Popolare di Liberazione e da altre agenzie governative.Le conseguenze del Tianfu Cup: gli attacchi informatici cinesi di maggiore rilevanza dal 2020 al 2024Nel 2020 il gruppo cinese Apt41, affiliato al Ministero della Sicurezza di Stato cinese (Mss), conduce una serie di attacchi sofisticati contro infrastrutture idriche ed energetiche negli Stati Uniti, in particolare in California, Texas e Florida. Gli obiettivi identificati erano: gli impianti di trattamento delle acque potabili, le centrali elettriche regionali con sistemi Scada (Supervisory Control and Data Acquisition), le reti municipali gestite da enti locali con basse difese. In almeno 3 contee della California, gli operatori rilevano tentativi di modifica remota ai livelli di cloro e pressione idrica. Nessun danno effettivo venne causato, ma le prove forensi indicarono un obiettivo: testare l’accesso per potenziali interruzioni future. Secondo un rapporto Dhs del 2021, si trattò della “prima prova concreta di una strategia cinese per esercitare pressione geopolitica attraverso utility locali”.A maggio del 2023, Microsoft e Five Eyes rivelano l’esistenza di un’operazione pluriennale attribuita al gruppo “Volt Typhoon”, un’entità legata anch’essa al Pla. La campagna aveva un obiettivo: infiltrare le reti della base aerea militare statunitense di Guam, centro logistico e comunicativo cruciale per le operazioni Usa nel Pacifico. Gli obiettivi erano: la base militare di Andersen dell’Air Force ubicata a Guam, nell’Oceano Indiano, le reti di comunicazione e logistica militare, i provider civili connessi (acqua, elettricità, trasporti marittimi). Le tecniche impiegate:accesso tramite dispositivi edge compromessi (firewall, router e dispositivi IoT vulnerabili, sfruttando exploit zero‑day);tecniche “living off the land” (utilizzo di comandi nativi di Windows – Wmi, PowerShell, Task Scheduler);aggiramento delle “detection” (nessuna chiamata esterna diretta, uso di tunneling cifrato per comunicare con C2 in server proxy offshore).Il malware era di tipo “dormiente”, con funzionalità limitate all’accesso remoto, ma avrebbe potuto essere attivato in caso di guerra per interrompere le comunicazioni o logistica. Analisti militari statunitensi ritennero che l’obiettivo fosse ritardare la risposta militare americana nel caso di un’invasione di Taiwan. Secondo il report Microsoft, l’operazione di “Volt Typhoon” dimostra inequivocabilmente una pianificazione strategica a lungo termine, degna di una potenza che impegnata alla preparazione di un campo di battaglia che possa garantire dei vantaggi “prima di sparare un solo colpo”.Ancora nel dicembre del 2024, gli Stati Uniti subiscono uno dei più gravi attacchi ai propri sistemi federali. Hacker legati a contractor cinesi, e coordinanti dall’Mss, sfruttano una vulnerabilità in un prodotto di sicurezza dell’azienda BeyondTrust per infiltrarsi nei sistemi del Dipartimento del Tesoro con l’intento di accedere alle informazioni relative ai piani di sanzioni economiche e dei fondi federali strategici. Tra le tecniche di infiltrazione:vulnerabilità zero‑day in BeyondTrust Endpoint Privilege Management (Epm);accesso a workstation federali e alla rete interna tramite exploit remoto;installazione di web shells e esfiltrazione silenziosa di dati sensibili in tempo reale.L’attacco ha prodotto come conseguenze:l’accesso a file e note classificateil coinvolgimento di almeno 40 workstation governativeIl governo USA ha classificato l’evento come “Cyber Incident Significativo” sulla base delle considerazioni del Federal Information Security Modernization Act (Fisma) Conclusioni e prospettiveOggigiorno la sfida reale non consiste più nel solo difendersi da violazioni o spionaggio, ma deve basarsi sulla prevenzione di un attacco che in futuro potrebbe paralizzare intere reti energetiche, sanitarie o finanziarie. La strategia cinese, orientata al pre-posizionamento e al controllo silente, testimonia una maturità distintiva nella cyber-guerra, dove il “conflitto prima digitale, poi militare” diventa realtà. Per contrastarla, occorre una difesa multilivello: legislativa, tecnologica e culturale, capace di monitorare e neutralizzare minacce crescenti. La strategia informatica della Cina non è più un mistero. Dal divieto delle competizioni internazionali alla creazione di una propria infrastruttura di hacking di stampo militare, la Cina ha ridefinito la guerra moderna. E questa volta, il campo di battaglia non è la terra o il mare: sono il tuo telefono, la tua email e i tuoi dati. Quando i governi cominciano a finanziare l’hacking, non si tratta più di trofei, ma di controllo, spionaggio e predominio nell’era digitale.