Salt Typhoon: il gruppo di cyber-spionaggio cinese attacca le telecom europee

Salt Typhoon, il gruppo di minaccia persistente avanzata collegato alla Repubblica Popolare Cinese, ha intensificato le proprie operazioni nel corso del 2025, tornando a colpire le infrastrutture di telecomunicazione europee con tecniche sempre più sofisticate. Secondo quanto riportato da Darktrace nel mese di ottobre 2025, il gruppo ha tentato di infiltrarsi in un operatore di telecomunicazioni europeo sfruttando una vulnerabilità in un’appliance Citrix NetScaler Gateway durante la prima settimana di luglio 2025 (1).

L’attacco ha seguito schemi ormai consolidati nel repertorio di Salt Typhoon, utilizzando il caricamento laterale di librerie dinamiche per mascherare il codice malevolo come componente legittima di software antivirus commerciali quali Norton, Bkav e IObit Malware Fighter. Dopo aver ottenuto l’accesso iniziale attraverso il gateway Citrix compromesso, gli attaccanti si sono spostati lateralmente verso gli host Citrix Virtual Delivery Agent nella sottorete dei servizi di creazione macchine, distribuendo il backdoor SNAPPYBEE, noto anche come Deed RAT.

L’infrastruttura di comando e controllo utilizzata dagli aggressori ha rivelato l’impiego di servizi VPN come SoftEther per offuscare l’origine delle connessioni, mentre i canali di comunicazione spaziavano dal protocollo HTTP a connessioni TCP non standard, una configurazione progettata specificamente per eludere i sistemi di rilevamento tradizionali. Fortunatamente, in questo caso specifico, le capacità di analisi comportamentale di Darktrace hanno permesso di identificare e contenere l’intrusione prima che potesse espandersi oltre le fasi iniziali dell’attacco.

Le dimensioni effettive della campagna di Salt Typhoon sono emerse in tutta la loro gravità nell’agosto 2025, quando l’FBI ha rivelato che il gruppo aveva preso di mira organizzazioni in almeno ottanta paesi diversi, con almeno seicento entità notificate di essere state oggetto di interesse da parte degli hacker. Brett Leatherman, direttore della divisione cybersecurity dell’FBI, ha confermato che oltre duecento aziende sono state compromesse a livello globale, in quella che rappresenta una delle più vaste operazioni di spionaggio informatico mai documentate.

La campagna si è rivelata molto più ampia di quanto inizialmente ipotizzato, estendendosi ben oltre il settore delle telecomunicazioni per includere reti governative, infrastrutture di trasporto, strutture ricettive e reti militari. Tra gennaio e marzo 2025, il gruppo ha anche esfiltrato file di configurazione associati ad agenzie governative statali americane e entità di infrastrutture critiche, riuscendo addirittura a compromettere i sistemi della Guardia Nazionale di almeno uno stato americano.

Gli attacchi alle università e la ricerca sulle telecomunicazioni

Tra dicembre 2024 e gennaio 2025, Salt Typhoon ha ampliato il proprio raggio d’azione prendendo di mira università negli Stati Uniti e nel mondo. Secondo un rapporto di Recorded Future del febbraio 2025, gli hacker hanno tentato di sfruttare vulnerabilità in oltre mille dispositivi Cisco, con particolare attenzione a quelli collegati a uffici universitari che conducono ricerche in ambiti legati alle telecomunicazioni e ad altre tecnologie avanzate. Tra le istituzioni potenzialmente colpite figurano l’Università della California a Los Angeles, la California State University, la Loyola Marymount University e la Utah Tech University negli Stati Uniti, oltre a università in Argentina, Bangladesh, Indonesia, Messico e Malesia.

La recente serie di intrusioni ha preso di mira operatori di telecomunicazioni e provider di servizi internet non solo negli Stati Uniti, ma anche nel Regno Unito, in Thailandia, in Sudafrica e in Italia, a dimostrazione del fatto che Salt Typhoon continua a portare avanti operazioni su scala internazionale, nonostante le sanzioni e le misure difensive messe in atto dai paesi occidentali.

Le vittime di alto profilo e l’accesso ai sistemi di intercettazione legale

L’aspetto più inquietante della campagna di Salt Typhoon riguarda la violazione dei sistemi di intercettazione legale, le infrastrutture che gli operatori di telecomunicazioni sono obbligati a mantenere in conformità con il Communications Assistance for Law Enforcement Act del 1994 per permettere alle agenzie di intelligence e alle forze dell’ordine di eseguire intercettazioni autorizzate dai tribunali. Gli hacker sono riusciti ad accedere a questi sistemi sensibili, ottenendo visibilità sulle attività di sorveglianza delle agenzie governative americane.

Tra le vittime degli attacchi figurano personalità politiche di altissimo profilo. Salt Typhoon ha compromesso le comunicazioni personali del Presidente Donald Trump e del Vicepresidente JD Vance, oltre a quelle di Kamala Harris durante la campagna elettorale e di almeno centocinquanta funzionari governativi e figure politiche di rilievo. Il gruppo ha avuto accesso ai metadati delle comunicazioni di oltre un milione di utenti, prevalentemente concentrati nell’area di Washington D.C., incluse informazioni su data e ora delle chiamate, indirizzi IP di origine e destinazione e numeri di telefono coinvolti.

Gli operatori di telecomunicazioni confermati come vittime includono alcuni dei nomi più importanti del settore americano, tra cui Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated Communications e Windstream. A giugno 2025 si è aggiunta anche Viasat, fornitore californiano di servizi satellitari a banda larga e sistemi di rete sicuri, mentre a febbraio 2025 è stata confermata la violazione di un operatore di telecomunicazioni canadese non identificato.

Le tecniche di attacco e le vulnerabilità sfruttate

Le indagini condotte dalle agenzie governative hanno rivelato che Salt Typhoon ha ottenuto un successo considerevole sfruttando vulnerabilità pubblicamente note in dispositivi infrastrutturali, senza necessità di ricorrere a exploit zero-day. Il gruppo ha dimostrato una preferenza per vulnerabilità in firewall, router e prodotti VPN, prendendo di mira in particolare dispositivi di produttori come Cisco, Palo Alto Networks, Ivanti e Fortinet. Alcune delle vulnerabilità sfruttate risalgono addirittura al 2018 e, sebbene siano state rilasciate patch di sicurezza, molte aziende di telecomunicazioni non le hanno mai implementate.

Il malware impiegato dal gruppo include il rootkit in modalità kernel di Windows denominato Demodex, identificato dai ricercatori di Kaspersky Lab, che consente di ottenere controllo remoto completo sui server compromessi. Salt Typhoon dimostra un livello elevato di sofisticazione nell’impiego di tecniche anti-forensi e anti-analisi per eludere il rilevamento, modificando le liste di controllo degli accessi per aggiungere indirizzi IP autorizzati ed esponendo servizi come SSH, RDP e FTP su porte sia standard che non standard per facilitare l’accesso remoto e l’esfiltrazione dei dati.

Nel caso europeo documentato da Darktrace, gli investigatori non hanno potuto confermare con certezza quale specifica vulnerabilità sia stata sfruttata nei dispositivi Citrix, ma il tempismo dell’attacco coincide con la correzione di gravi falle di sicurezza nei prodotti NetScaler Gateway, tra cui CVE-2025-5349 e CVE-2025-7775, quest’ultima utilizzata come vulnerabilità di esecuzione remota di codice pre-autenticazione per installare web shell su sistemi non aggiornati. La CISA americana ha rapidamente inserito questa vulnerabilità nel proprio catalogo delle vulnerabilità sfruttate, mentre il Centro Nazionale Olandese per la Cybersicurezza ha avvertito che era probabile uno sfruttamento massivo.

La risposta delle agenzie internazionali e le sanzioni

Il ventisette agosto 2025, la Cybersecurity and Infrastructure Security Agency americana, insieme alla National Security Agency e all’FBI, ha rilasciato un advisory congiunto di cybersecurity in collaborazione con agenzie di intelligence e forze dell’ordine di Australia, Canada, Germania, Giappone, Regno Unito, Nuova Zelanda, Repubblica Ceca, Finlandia, Italia, Spagna, Polonia e Paesi Bassi. Il documento di trentasette pagine dettaglia le attività malevole in corso da parte di attori sponsorizzati dallo stato cinese, avvertendo di una campagna deliberata e sostenuta per ottenere accesso a lungo termine alle reti di infrastrutture critiche in tutto il mondo.

A gennaio 2025, il Dipartimento del Tesoro degli Stati Uniti ha annunciato sanzioni contro Sichuan Juxinhe Network Technology Co., LTD, accusando l’azienda di avere un coinvolgimento diretto con Salt Typhoon e di essere responsabile della violazione di molteplici compagnie di telecomunicazioni e fornitori di servizi internet americani. L’advisory di agosto 2025 ha poi identificato altre due aziende cinesi che hanno assistito il Ministero della Sicurezza di Stato della Repubblica Popolare Cinese nella campagna: Beijing Huanyu Tianqiong Information Technology e Sichuan Zhixin Ruijie Network Technology. Queste società forniscono prodotti e servizi legati alla cybersicurezza ai servizi di intelligence cinesi, comprese multiple unità dell’Esercito Popolare di Liberazione e del Ministero della Sicurezza di Stato.

Ad aprile 2025, l’FBI ha annunciato una ricompensa di dieci milioni di dollari per informazioni su individui associati a Salt Typhoon, un segnale dell’importanza che le autorità americane attribuiscono allo smantellamento di questa rete di spionaggio. Tuttavia, l’indagine ha subito una battuta d’arresto quando la seconda amministrazione Trump ha licenziato tutti i membri del Cyber Safety Review Board prima che potesse completare la propria investigazione sull’intrusione, lasciando incerto lo stato attuale delle indagini governative.

Le raccomandazioni per la difesa

L’advisory congiunto fornisce un piano d’azione dettagliato per le organizzazioni che desiderano fortificare la propria postura di sicurezza contro la minaccia persistente di Salt Typhoon. Le raccomandazioni includono l’implementazione di un rigoroso programma di gestione delle patch per identificare e correggere immediatamente tutti i dispositivi esposti a internet, considerato il passo più critico dato che il metodo preferito di accesso iniziale del gruppo consiste nello sfruttamento di vulnerabilità note e non corrette su router, firewall e appliance VPN. Le agenzie raccomandano inoltre il monitoraggio regolare delle configurazioni di tutti i dispositivi di rete per identificare modifiche non autorizzate o sospette. Per gli individui preoccupati per la privacy delle proprie comunicazioni mobili, funzionari di CISA e FBI consigliano di considerare l’utilizzo di applicazioni di messaggistica con crittografia end-to-end come WhatsApp e Signal, oltre all’uso di comunicazioni vocali criptate. È inoltre raccomandato l’uso di dispositivi cellulari che ricevono aggiornamenti tempestivi del sistema operativo, gestiscono responsabilmente la crittografia e supportano l’autenticazione multi-fattore resistente al phishing per email, social media e strumenti di collaborazione.

Jeff Greene, direttore esecutivo assistente per la cybersecurity di CISA, ha dichiarato durante una conferenza stampa nel dicembre 2024 che le vittime dell’attacco stanno ancora lavorando per eradicare completamente la minaccia dalle proprie reti. Greene ha affermato che non è possibile dire con certezza che l’avversario sia stato espulso, poiché non si conosce ancora l’intera portata delle loro attività. Ha descritto gli attori di Salt Typhoon come impegnati nell’impiego di una varietà di tattiche per violare le reti delle vittime, sottolineando che le compromissioni non seguono uno schema standardizzato in termini di profondità della penetrazione o delle capacità che l’attore è riuscito a ottenere.

Salt Typhoon rimane una delle minacce più rilevanti e adattive per le infrastrutture di comunicazione mondiali. Secondo l’ex analista della NSA Terry Dunlap, il gruppo rappresenta una componente della strategia centenaria della Cina, suggerendo che le operazioni di spionaggio informatico sono parte di un piano di intelligence a lunghissimo termine volto a raccogliere informazioni strategiche e mantenere capacità di sorveglianza su scala globale.

Secondo le analisi di Trend Micro, Salt Typhoon opera come un’organizzazione ben strutturata con una chiara divisione del lavoro, dove attacchi diretti a diverse regioni e industrie vengono lanciati da attori distinti, suggerendo un coordinamento centralizzato e una specializzazione operativa. L’accento particolare del gruppo sugli obiettivi di controspionaggio negli Stati Uniti e sul furto di proprietà intellettuale aziendale chiave lo distingue da altri gruppi APT, secondo quanto riportato dal New York Times.

La combinazione di vulnerabilità di prodotto, tecniche di sideloading sofisticate e infrastrutture di comando e controllo complesse richiede risposte coordinate tra settore privato e agenzie pubbliche, nonché un potenziamento continuo delle pratiche di difesa e monitoraggio per ridurre i tempi di permanenza nelle reti compromesse e minimizzare l’impatto operativo. La scoperta che alcune vulnerabilità sfruttate risalgono a diversi anni fa sottolinea l’importanza critica di mantenere aggiornati i sistemi e di implementare tempestivamente le patch di sicurezza disponibili.

SCHEDA DI APPROFONDIMENTO: Salt Typhoon

Identità e attribuzione

Salt Typhoon è il nome assegnato da Microsoft a un gruppo di minaccia persistente avanzata operativo almeno dal 2019, sebbene alcune evidenze suggeriscano attività precedenti. Il gruppo è conosciuto anche con molteplici denominazioni alternative a seconda dell’organizzazione di sicurezza che lo traccia, tra cui Earth Estries, GhostEmperor, FamousSparrow, UNC2286, UNC5807, OPERATOR PANDA e RedMike. Questa molteplicità di nomi riflette la complessità operativa del gruppo e le diverse prospettive da cui viene osservato dalla comunità di intelligence sulla cybersicurezza.

Le agenzie di intelligence occidentali, incluse la NSA, l’FBI e la CISA americana, insieme ai servizi di sicurezza di Australia, Canada, Regno Unito e altri paesi alleati, attribuiscono con alta confidenza le operazioni di Salt Typhoon al Ministero della Sicurezza di Stato della Repubblica Popolare Cinese, il servizio di intelligence estera e polizia segreta del paese. L’ambasciata cinese in Nuova Zelanda ha respinto tutte le accuse, definendole diffamazioni e calunnie infondate e irresponsabili, mantenendo la posizione ufficiale di Pechino che nega qualsiasi coinvolgimento in operazioni di cyber-spionaggio.

Le indagini hanno rivelato che Salt Typhoon opera con il supporto di almeno tre aziende private cinesi che forniscono prodotti e servizi informatici ai servizi di intelligence del paese: Sichuan Juxinhe Network Technology Co., Ltd. (sanzionata dal Dipartimento del Tesoro USA nel gennaio 2025), Beijing Huanyu Tianqiong Information Technology Co., Ltd. e Sichuan Zhixin Ruijie Network Technology Co., Ltd. Di queste aziende sono disponibili informazioni pubbliche molto limitate, e i tentativi di contattarle per commenti da parte dei media internazionali non hanno ottenuto risposta.

Obiettivi strategici e settori presi di mira

La strategia operativa di Salt Typhoon si distingue per il suo focus primario sugli obiettivi di controspionaggio e sulla raccolta di intelligence strategica di lungo periodo. A differenza di molti altri gruppi APT che si concentrano sul furto immediato di dati o sul sabotaggio, Salt Typhoon investe risorse considerevoli nel mantenimento di accessi persistenti e nascosti che possono essere sfruttati nel corso di anni, alimentando quello che le agenzie occidentali descrivono come un sistema globale di spionaggio.

Il settore delle telecomunicazioni rappresenta l’obiettivo primario e più caratteristico delle operazioni del gruppo. Compromettere le infrastrutture di telecomunicazione offre vantaggi strategici unici, poiché permette di condurre sorveglianza pervasiva su vasta scala, intercettando comunicazioni di milioni di persone senza dover compromettere individualmente ciascun obiettivo. L’accesso a router backbone di grandi dimensioni, a dispositivi provider edge e customer edge consente al gruppo di posizionarsi in punti strategici del traffico internet globale.

Oltre alle telecomunicazioni, Salt Typhoon ha dimostrato interesse per reti governative, dove può raccogliere documenti politici sensibili, dati operativi e piani strategici che forniscono una visione chiara delle intenzioni e delle capacità di una nazione. Il gruppo ha anche preso di mira infrastrutture di trasporto, strutture ricettive, reti militari e, più recentemente, istituzioni accademiche che conducono ricerche in ambiti tecnologici avanzati. Questa diversificazione degli obiettivi suggerisce un mandato ampio di raccolta intelligence che abbraccia molteplici dimensioni della sicurezza nazionale e dello sviluppo tecnologico.

Arsenale tecnico e capacità operative

L’arsenale di Salt Typhoon comprende una combinazione sofisticata di malware personalizzato, tecniche di living-off-the-land e sfruttamento di vulnerabilità note. Il gruppo ha dimostrato capacità nell’identificare e sfruttare vulnerabilità in prodotti di rete ampiamente utilizzati, inclusi dispositivi di Cisco, Palo Alto Networks, Ivanti, Fortinet, Juniper e altri produttori. Significativamente, le indagini non hanno ancora documentato l’uso di vulnerabilità zero-day da parte del gruppo, che si affida invece allo sfruttamento di falle di sicurezza pubblicamente note ma non ancora corrette dalle organizzazioni bersaglio.

Tra i malware caratteristici impiegati dal gruppo figura SNAPPYBEE, noto anche come Deed RAT, un backdoor modulare che viene condiviso con altri gruppi APT cinesi. Il gruppo utilizza anche Demodex, un rootkit che opera in modalità kernel di Windows, permettendo un controllo profondo e persistente sui sistemi compromessi. Più recentemente, durante una campagna del marzo 2025 attribuita al cluster FamousSparrow associato a Salt Typhoon, è stato documentato l’uso del backdoor ShadowPad insieme a due varianti inedite del malware custom SparrowDoor.

Una tecnica particolarmente efficace nel repertorio di Salt Typhoon è il DLL sideloading, che consente di eseguire codice malevolo mascherandolo come componente di applicazioni legittime. Il gruppo ha dimostrato particolare abilità nell’abusare di software antivirus commerciali, collocando librerie DLL malevole accanto agli eseguibili autentici di prodotti come Norton Antivirus, Bkav Antivirus e IObit Malware Fighter. Quando queste applicazioni legittime vengono avviate, caricano involontariamente le DLL malevole dalla stessa directory, eseguendo il payload dell’attaccante sotto le sembianze di software fidato e bypassando i controlli di sicurezza tradizionali.

Per l’esfiltrazione dei dati, Salt Typhoon impiega client SFTP personalizzati scritti in Golang, utilizzati per trasferire archivi criptati da una posizione all’altra. Il gruppo dimostra anche sofisticazione nella gestione dell’infrastruttura di comando e controllo, utilizzando servizi VPN commerciali per offuscare l’origine delle connessioni, configurando canali di comunicazione multipli su protocolli diversi per eludere il rilevamento, e modificando le configurazioni dei dispositivi di rete compromessi per mantenere accesso persistente.

Tecniche di persistenza e movimento laterale

Salt Typhoon ha sviluppato un insieme robusto di tecniche per mantenere l’accesso alle reti compromesse nel lungo periodo e per espandere progressivamente il proprio controllo. Il gruppo modifica regolarmente le liste di controllo degli accessi sui dispositivi di rete per aggiungere indirizzi IP sotto il proprio controllo, garantendosi vie di accesso ridondanti anche se alcune vengono scoperte e bloccate. Espone servizi di accesso remoto come SSH, RDP e FTP sia su porte standard che non standard, rendendo più difficile per i difensori identificare tutte le backdoor installate.

Il movimento laterale attraverso le reti compromesse viene facilitato dall’abuso di connessioni fidate esistenti e dall’impiego di credenziali legittime precedentemente rubate. Il gruppo sfrutta dispositivi già compromessi come punti di appoggio per accedere ad altre reti, creando catene di compromissione che possono attraversare i confini organizzativi. L’uso di strumenti di amministrazione legittimi come Windows Management Instrumentation e l’iniezione di codice in processi fidati permettono al gruppo di operare in modo furtivo, mescolando le proprie attività con operazioni amministrative normali.

Impatto e conseguenze documentate

L’impatto delle operazioni di Salt Typhoon si estende ben oltre il semplice furto di dati. La compromissione dei sistemi di intercettazione legale delle telecomunicazioni americane, richiesti dalla legislazione CALEA del 1994, ha potenzialmente esposto le attività di sorveglianza delle agenzie di intelligence e delle forze dell’ordine, permettendo agli avversari di sapere chi veniva monitorato e per quali ragioni. Questo rappresenta un grave danno alla sicurezza nazionale che potrebbe avere ripercussioni per anni, compromettendo indagini in corso e future.

L’accesso ai metadati delle comunicazioni di oltre un milione di persone nell’area di Washington D.C., incluse figure politiche di altissimo profilo come il Presidente, il Vicepresidente e candidati presidenziali, fornisce all’intelligence cinese una mappa dettagliata delle relazioni, dei modelli di comunicazione e potenzialmente delle priorità strategiche della leadership americana. Anche senza accedere al contenuto delle conversazioni, i metadati rivelano informazioni preziose su chi comunica con chi, con quale frequenza e da quali località.

La compromissione di almeno nove operatori di telecomunicazioni americani e di decine di altri in tutto il mondo rappresenta una delle più vaste campagne di spionaggio informatico mai documentate. Il senatore americano Mark R. Warner ha dichiarato che, in confronto alle operazioni di Salt Typhoon, casi precedenti di grande impatto come SolarWinds e Colonial Pipeline sarebbero giochi da ragazzi, sottolineando la portata senza precedenti di questa campagna.

Evoluzione e stato attuale

Le prime operazioni attribuite a Salt Typhoon risalgono al 2021, quando i ricercatori di Kaspersky Lab identificarono per la prima volta il gruppo, osservandolo mentre prendeva di mira organizzazioni nel Sud-est asiatico e in Africa. Già in quell’occasione, il gruppo era riuscito a infiltrarsi nei sistemi di numerose compagnie di telecomunicazioni, passando inosservato per almeno otto mesi prima di essere scoperto.

La scoperta delle intrusioni nelle telecomunicazioni americane nell’estate del 2024, resa pubblica nell’autunno dello stesso anno, ha rappresentato un momento di svolta che ha portato a un’intensificazione delle indagini internazionali e a un coordinamento senza precedenti tra agenzie di sicurezza di molteplici paesi. Tuttavia, nonostante l’esposizione ad alto profilo e le sanzioni imposte, Salt Typhoon ha continuato a operare attivamente durante tutto il 2025, come dimostrano gli attacchi documentati contro università, operatori di telecomunicazioni europei e altri obiettivi globali.

A ottobre 2025, le vittime note degli attacchi stanno ancora lavorando per eradicare completamente la presenza del gruppo dalle proprie reti. Funzionari di CISA hanno ammesso apertamente che non è possibile affermare con certezza che l’avversario sia stato completamente espulso, poiché l’intera portata delle loro attività rimane sconosciuta. La natura delle compromissioni varia significativamente da vittima a vittima, con alcuni sistemi profondamente penetrati e altri toccati solo superficialmente, rendendo complessa e lunga l’opera di bonifica.

L’FBI ha stimato che almeno seicento organizzazioni in ottanta paesi sono state notificate di essere state oggetto di interesse da parte di Salt Typhoon, e il numero reale di vittime potrebbe essere ancora più elevato. La capacità del gruppo di mantenere operazioni attive nonostante l’attenzione internazionale e le contromisure implementate testimonia il livello di sofisticazione, risorse e supporto istituzionale di cui dispone.

Le agenzie di sicurezza continuano a monitorare attentamente le attività del gruppo e ad aggiornare regolarmente le indicazioni difensive, riconoscendo che Salt Typhoon continuerà probabilmente ad adattare le proprie tattiche man mano che verranno scoperte nuove vulnerabilità e man mano che i bersagli implementeranno mitigazioni. La ricompensa di dieci milioni di dollari offerta dall’FBI per informazioni sul gruppo rimane attiva, segnalando la priorità che le autorità americane attribuiscono allo smantellamento di questa rete di spionaggio e all’identificazione degli individui responsabili delle operazioni.

L’articolo Salt Typhoon: il gruppo di cyber-spionaggio cinese attacca le telecom europee proviene da Difesa Online.

Salt Typhoon, il gruppo di minaccia persistente avanzata collegato alla Repubblica Popolare Cinese, ha intensificato le proprie operazioni nel corso del 2025, tornando a colpire le infrastrutture di telecomunicazione europee con tecniche sempre più sofisticate. Secondo quanto riportato da Darktrace…

L’articolo Salt Typhoon: il gruppo di cyber-spionaggio cinese attacca le telecom europee proviene da Difesa Online.