Sommario
Microsoft ha collegato una nuova ondata di attacchi informatici sofisticati alla Cina, evidenziando come gruppi sponsorizzati dallo Stato stiano sfruttando vulnerabilità zero-day in SharePoint per installare la backdoor ToolShell dopo la segnalazione della società Mandiant di Google. Parallelamente, le autorità cinesi hanno lanciato una serie di avvisi ufficiali su presunti dispositivi spia stranieri nascosti nei fondali oceanici e in apparecchiature civili, creando un clima di crescente tensione tra Pechino e le potenze occidentali.
SharePoint nel mirino: exploit, gruppi statali e patch d’emergenza
Dal 7 luglio 2025 sono stati osservati attacchi contro server SharePoint on-premise, condotti da attori identificati come Linen Typhoon, Violet Typhoon e il gruppo emergente Storm-2603, tutti collegati a interessi cinesi. Le vulnerabilità sfruttate, catalogate come CVE-2025-53770 e CVE-2025-53771, permettono l’esecuzione remota di codice e l’accesso non autenticato a infrastrutture critiche, consentendo agli attaccanti di navigare i file system, esfiltrare configurazioni e credenziali e installare web shell per mantenere accesso persistente. Microsoft ha confermato che gli exploit consentono attività di comando remoto e movimenti laterali attraverso le reti compromesse. Il codice proof-of-concept pubblicato su GitHub ha accelerato la replicazione degli attacchi, spingendo l’azienda a rilasciare patch emergenziali per SharePoint Subscription Edition, 2019 e 2016. Cybersecurity and Infrastructure Security Agency (CISA) ha immediatamente aggiunto CVE-2025-53770 al proprio catalogo di vulnerabilità sfruttate attivamente, ordinando alle agenzie federali statunitensi di applicare le patch entro 24 ore. Secondo Eye Security, almeno 54 organizzazioni internazionali, inclusi governi, aziende telco e software house, sono già state compromesse. Anche Check Point ha segnalato attività malevole mirate a entità in Nord America e in Europa occidentale. Indicatori di compromissione includono indirizzi IP come 134.199.202.205 e 104.238.159.149, server C2 su 131.226.2.6 e web shell rilevate con nomi come spinstall0.aspx. Il payload malevolo viene distribuito anche tramite tunnel Ngrok, con URL come c34718cbb4c6.ngrok-free.app, rendendo l’analisi e il blocco più complessi.
ToolShell e l’escalation delle tecniche post-sfruttamento
La catena di attacco ToolShell, dimostrata pubblicamente dai ricercatori di Viettel Cyber Security durante il Pwn2Own di Berlino, evidenzia come l’execution remota possa essere combinata con tecniche di persistenza per mantenere l’accesso anche dopo il rilevamento. Gli attaccanti sfruttano la deserializzazione non sicura per eseguire comandi attraverso payload inviati a endpoint esposti, senza necessità di autenticazione. Dopo l’intrusione iniziale, i gruppi malevoli si muovono all’interno della rete, raccolgono informazioni sensibili, sottraggono credenziali, installano ulteriori backdoor e tentano di propagarsi su altri segmenti della rete. Le aziende corrono ai ripari con firewall potenziati, MFA attiva, monitoraggio dei log e segmentazione delle reti, mentre Microsoft collabora attivamente con CISA per diffondere intelligence aggiornata e indicatori tecnici di compromissione. L’adozione di pratiche zero-trust, configurazioni sicure e patch tempestive viene indicata come la strategia difensiva più efficace per mitigare l’ondata di exploitation legata a ToolShell.
La Cina accusa l’Occidente: allarme backdoor nei dispositivi marini e civili
Contemporaneamente, il Ministero della Sicurezza Statale cinese ha pubblicato su WeChat una serie di avvisi rivolti alla popolazione, denunciando la presenza di backdoor in sensori oceanici e dispositivi civili di fabbricazione straniera. I post, pubblicati il 21 e il 23 luglio 2025, avvertono che potenze occidentali starebbero raccogliendo dati idrologici e ambientali dai fondali marini, compromettendo la sicurezza nazionale. Si menzionano episodi in cui pescatori cinesi avrebbero recuperato dispositivi spia, apparentemente travestiti da strumenti scientifici. Il Ministero sostiene che molte backdoor sono inserite durante la produzione dai vendor, o attivate da sviluppatori per esigenze di manutenzione, ma successivamente sfruttate da attori malevoli. L’invito rivolto alla popolazione è quello di utilizzare solo tecnologia locale, evitare marchi stranieri e segnalare comportamenti sospetti. Il messaggio è chiaramente improntato alla propaganda, rafforzando la narrativa della sorveglianza straniera mentre si omette il ruolo attivo della stessa Cina nel condurre operazioni offensive simili.
Contraddizioni e retorica: la geopolitica della cybersicurezza
Il contrasto tra l’allarme lanciato dalla Cina sui rischi di backdoor straniere e le evidenze degli attacchi statali cinesi portati avanti attraverso exploit zero-day in SharePoint evidenzia una dinamica di doppio standard. Se da un lato il Ministero accusa paesi occidentali di spionaggio e installazione di hardware compromesso, dall’altro i gruppi sponsorizzati da Pechino conducono attivamente campagne contro infrastrutture occidentali. La tensione si inserisce in un quadro geopolitico già fragile. Gli Stati Uniti hanno vietato l’uso di Huawei e limitato l’export di chip verso la Cina. In risposta, Pechino ha incentivato l’adozione di tecnologia nazionale, ostacolato l’importazione di hardware straniero e intensificato la produzione di sensori e software interni. Entrambi i fronti conducono operazioni offensive e campagne informative che confondono i confini tra difesa e attacco, tra protezione e sorveglianza.
Mitigazioni e risposte internazionali
In risposta all’attacco ToolShell, Microsoft ha rilasciato istruzioni dettagliate per rilevare la compromissione e applicare le patch. Le organizzazioni stanno disabilitando le funzioni inutilizzate in SharePoint, monitorando traffico anomalo e configurando firewall per bloccare indirizzi sospetti. L’adozione di strumenti come Splunk o Nessus permette di rilevare attività malevole e vulnerabilità ancora presenti. La compliance con GDPR, i piani di risposta agli incidenti e le assicurazioni cyber sono diventati elementi essenziali per garantire la resilienza. Le autorità cinesi, nel frattempo, spingono una narrativa centrata sull’autosufficienza e sulla riduzione della dipendenza tecnologica. Mentre accusano l’Occidente di spionaggio, rafforzano la propria infrastruttura di sorveglianza interna. La cyberwar fredda tra Cina e Occidente prosegue lungo due direttrici: da una parte le tecnologie emergenti come AI e blockchain, dall’altra il controllo della supply chain globale.
