Cyber attacco SharePoint: la Cina ridefinisce la guerra digitale

L'ombra lunga della cyberwarfare cinese su SharePoint

L'ultima offensiva cibernetica, orchestrata da attori legati allo Stato cinese, ha scosso le fondamenta della sicurezza digitale globale, sfruttando vulnerabilità critiche in Microsoft SharePoint. Centinaia di organizzazioni sono state colpite, e tra queste spicca la National Nuclear Security Administration statunitense. Ma non solo: l'onda d'urto ha raggiunto anche l'Italia, il Regno Unito e la Francia, estendendosi a settori vitali come i servizi finanziari e i beni di consumo. È un chiaro segnale che la guerra cyber ha raggiunto nuovi, preoccupanti livelli.

Questo attacco non è un caso isolato, ma si inserisce in una strategia ben più ampia, una vera e propria "Guerra Liminale" dove Pechino mira al dominio cibernetico attraverso spionaggio politico, sabotaggio di infrastrutture critiche e furto sistematico di proprietà intellettuale. Un rapporto recente, "BEFORE VEGAS" di Eugenio Benincasa (CSS, ETH Zürich), ha evidenziato l'"ascesa fulminante" della Cina come "cyber superpotenza globale", orchestrando campagne aggressive di spionaggio informatico attraverso le sue agenzie di intelligence e contractor privati. Agenda Digitale AI ne ha parlato approfonditamente, sottolineando come questa realtà sia stata già confermata nel 2023 dall'allora direttore dell'FBI, Christopher Wray, che definì la strategia cinese "più grande di quella di ogni altra grande nazione combinata".

Il meccanismo dell'attacco: vulnerabilità e tempismo sospetto

La vicenda ha avuto inizio a maggio, quando il ricercatore vietnamita Dinh Ho Anh Khoa ha individuato una vulnerabilità di SharePoint durante la conferenza di sicurezza Pwn2Own a Berlino. Microsoft ha tentato di correre ai ripari rilasciando una patch l'8 luglio, ma si è rivelata inefficace, lasciando una finestra aperta agli aggressori. Il tempismo è sospetto: i primi tentativi di exploit da parte degli hacker cinesi sono stati rilevati il 7 luglio, il giorno prima del rilascio pubblico delle patch. Questo ha sollevato dubbi su una possibile fuga di notizie dal Microsoft Active Protection Program (MAPP), un programma che dovrebbe fornire informazioni anticipate sulle vulnerabilità ai partner di sicurezza. Se confermato, sarebbe un duro colpo alla fiducia nelle difese collettive.

Le vulnerabilità sfruttate, identificate come CVE-2025-53770 con un punteggio di criticità di 9.8, permettono agli aggressori di falsificare le credenziali di autenticazione ed eseguire codice arbitrario da remoto sui server senza richiedere alcuna autenticazione. Un Proof of Concept (PoC) per questa vulnerabilità è già disponibile in rete, accelerando la diffusione degli attacchi.

Chi è nel mirino e perché: la strategia cinese

La portata dell'attacco è impressionante. La società olandese Eye Security ha rilevato "attività insolite" su un server SharePoint locale di un proprio cliente già il 18 luglio, identificando decine di sistemi compromessi a livello globale dopo una scansione di oltre 8.000 server accessibili pubblicamente. La maggior parte delle vittime si trova negli Stati Uniti, evidenziando la natura strategica dell'operazione. Tra le vittime più sensibili, la National Nuclear Security Administration (NNSA), l'agenzia statunitense che supervisiona le armi nucleari, e il Dipartimento dell'Energia, a dimostrazione di una chiara intenzione di colpire asset fondamentali per la sicurezza nazionale.

Microsoft ha identificato tre gruppi di hacker che sfruttano attivamente queste vulnerabilità:

• Linen Typhoon: sostenuto dallo Stato cinese, si concentra sul furto di proprietà intellettuale, mirando a settori governativi, difesa e diritti umani.
• Violet Typhoon: anch'esso legato allo Stato cinese, opera nello spionaggio dal 2015, con obiettivi ampi che includono ex personale governativo e militare, ONG, think tank e settori finanziari e sanitari.
• Storm-2603: un terzo gruppo con una probabile base cinese, la cui attività suggerisce l'emergere di nuovi attori o una strategia di diversificazione per eludere l'attribuzione.

Questi attacchi mirano a server SharePoint locali (on-premise), non al servizio cloud di Microsoft. Molte organizzazioni, inclusi enti governativi, continuano a utilizzare SharePoint locale per esigenze di conformità o per inerzia tecnologica, esponendosi a rischi significativi. Microsoft ha sollecitato l'installazione urgente degli aggiornamenti di sicurezza e la modifica delle chiavi crittografiche per neutralizzare le backdoor. Nonostante la "Secure Future Initiative" di Microsoft, la percezione è che l'azienda non stia facendo abbastanza per la sicurezza dei suoi prodotti, concentrandosi troppo sull'espansione nel cloud e nell'intelligenza artificiale.

L'Italia al centro del ciclone: le raccomandazioni dell'ACN

Anche l'Italia è nel mirino. L'Agenzia per la Cybersicurezza Nazionale (ACN) ha reagito prontamente, emettendo un alert dettagliato il 25 luglio. Le raccomandazioni dell'ACN sono in linea con quelle internazionali, ma offrono anche strumenti e procedure aggiuntive per la mitigazione e il rilevamento. Ciò sottolinea l'urgenza e la serietà della minaccia anche a livello nazionale, posizionando l'Italia come parte attiva nella difesa del fronte cibernetico occidentale.

La dottrina del cyber power cinese: un ecosistema offensivo

Per capire la portata di questi attacchi, è essenziale analizzare la dottrina cinese. La Repubblica Popolare Cinese (RPC) mira a diventare una "cyber superpotenza", integrando spionaggio, sabotaggio e furto di proprietà intellettuale. La nascita degli "Honkers" (红客), hacker patriottici, risale alla connessione cinese a Internet nel 1994. Inizialmente autodidatti, si sono organizzati in "guerre cibernetiche patriottiche", come il bombardamento dell'Ambasciata cinese a Belgrado nel 1999, che portò alla nascita della "Red Hacker Alliance".

Questi gruppi divennero "accademie di formazione" informali, sviluppando strumenti offensivi propri come "Glacier" e "X-Scan". La filosofia di "difesa attraverso l'offesa" e un codice etico informale hanno plasmato una generazione di hacker. Oggi, molti di questi "Red 40", i 40 individui più influenti, ricoprono posizioni chiave nel governo e nell'industria della cybersecurity. Sotto Xi Jinping, la PLA ha creato una Forza di Supporto Strategico (SSF) focalizzata su cyber, spazio e guerra elettronica, integrando sforzi civili e militari. Questa fusione militare-civile è ciò che distingue il cyber power cinese da quello occidentale.

Attori chiave e metodologie: una minaccia stratificata

Dietro gli attacchi ci sono hacker legati al governo cinese, come confermato da Charles Carmakal, CTO di Mandiant Consulting. L'interesse si concentra sullo spionaggio industriale, il furto di proprietà intellettuale e la raccolta di informazioni governative sensibili. Il Ministero della Sicurezza di Stato (MSS) e la PLA coordinano le operazioni, con l'MSS focalizzato sullo spionaggio politico e la sorveglianza (come l'attacco a nove compagnie telefoniche americane da parte di Salt Typhoon), e la PLA sul sabotaggio di infrastrutture critiche (come le intrusioni di Volt Typhoon in infrastrutture americane). L'uso combinato di ransomware e raccolta di intelligence serve a confondere l'attribuzione.

Gli attori cinesi sono noti per sfruttare vulnerabilità "zero-day" a un ritmo allarmante. La competizione di hacking cinese, la Tianfu Cup, scopre difetti che vengono consegnati al governo prima che le aziende ne siano a conoscenza. La Cina impone un ferreo controllo statale sulla divulgazione delle vulnerabilità, come dimostrato dal caso Log4j, dove un ingegnere di Alibaba è stato penalizzato per aver segnalato il difetto direttamente ad Apache. Questo garantisce un vantaggio strategico nelle operazioni offensive.

Prospettive future: una sfida globale

L'attacco a SharePoint è un monito: la cyberwarfare è una realtà presente che impatta sicurezza nazionale, economia e relazioni internazionali. La vulnerabilità di software ampiamente usati come SharePoint impone una vigilanza costante, investimenti massicci nella sicurezza e una cooperazione internazionale, nonostante la fiducia tra le superpotenze sia ai minimi storici. La capacità cinese di integrare sforzi statali, militari e civili nel cyberspazio rappresenta una sfida sistemica per le democrazie occidentali, che devono rafforzare le proprie difese e adattare le strategie a un panorama di minacce in continua evoluzione.