La notizia dell’indagine dell’Antiterrorismo di Roma sulle presunte intrusioni nei sistemi gestiti da Sistemi Informativi, società del gruppo IBM, apre un nuovo fronte nella percezione italiana della minaccia cyber cinese. Il fascicolo, nato dopo segnalazioni relative ad accessi abusivi a sistemi informatici collegati alla pubblica amministrazione, porta in primo piano il nome Salt Typhoon, una delle sigle più sensibili della guerra cibernetica contemporanea. Non si tratta di un gruppo qualsiasi, né di una crew criminale interessata soltanto al profitto. Salt Typhoon è associato a operazioni di cyber-spionaggio persistente, con un’attenzione particolare alle telecomunicazioni, agli operatori di rete, ai sistemi di intercettazione legale, ai provider Internet, alle infrastrutture governative e alle catene digitali che rendono possibile la circolazione delle comunicazioni pubbliche e private. Il dato politico è immediato: se un’indagine italiana arriva a concentrarsi su una possibile pressione ostile contro sistemi collegati alla pubblica amministrazione, la questione non riguarda soltanto la sicurezza informatica di un fornitore. Riguarda la tenuta dell’infrastruttura fiduciaria dello Stato, cioè quell’insieme di reti, appalti, società tecnologiche, piattaforme e servizi gestiti che permettono alla macchina pubblica di funzionare. Il nome Salt Typhoon, letto alla luce dell’archivio di Matrice Digitale, diventa quindi la chiave per capire una minaccia più ampia: la capacità degli attori statali cinesi di penetrare reti strategiche, restare nascosti, osservare comunicazioni, raccogliere metadati e sfruttare dispositivi di rete come piattaforme di intelligence. Matrice Digitale ha seguito Salt Typhoon lungo una traiettoria che parte dagli ISP statunitensi, attraversa le grandi compagnie telefoniche, arriva alle vulnerabilità nei dispositivi Cisco, passa per Viasat, tocca il Canada, entra nelle reti europee e si collega a un ecosistema più vasto di gruppi cinesi, contractor, malware, backdoor e strumenti di persistenza. La notizia romana non è quindi un episodio isolato, ma il punto italiano di una storia che Matrice Digitale ha già raccontato in profondità.
Cosa leggere
Perché Salt Typhoon è diverso dal cybercrime comune
Salt Typhoon non va letto con la grammatica del ransomware. Non è un gruppo che entra, cifra i sistemi, chiede un riscatto e cerca monetizzazione immediata. La sua logica è diversa: entrare nelle reti che trasportano comunicazioni, restare dentro il più a lungo possibile, raccogliere informazioni e usare l’accesso come leva strategica. Proprio per questo il gruppo è molto più pericoloso per governi, operatori TLC e pubbliche amministrazioni rispetto a una minaccia criminale ordinaria. Matrice Digitale aveva già inquadrato il gruppo nel settembre 2024, quando raccontava come Salt Typhoon fosse emerso come attore cinese concentrato sull’infiltrazione degli ISP statunitensi. Nell’articolo Salt Typhoon infiltra spie cinesi negli ISP degli Stati Uniti, il gruppo veniva descritto come una minaccia avanzata focalizzata su istituzioni governative, aziende tecnologiche e organizzazioni occidentali, con un modus operandi orientato alla raccolta di informazioni sensibili. Quel primo quadro è diventato più grave nei mesi successivi. Salt Typhoon non si è limitato a colpire un singolo provider o una singola azienda. Ha mostrato interesse per il livello profondo delle reti: apparati di comunicazione, router, firewall, VPN, dispositivi edge, infrastrutture di telecomunicazione e sistemi che permettono l’intercettazione legale. In termini strategici, significa una cosa precisa: chi entra nelle reti di telecomunicazione non ruba soltanto dati, ma può osservare relazioni, contatti, flussi, priorità politiche e architetture di potere.
Il cuore della minaccia: telecomunicazioni e intercettazioni
La centralità delle telecomunicazioni è il tratto più riconoscibile di Salt Typhoon. Le operazioni attribuite al gruppo hanno preso di mira operatori telefonici e provider di rete perché le telecomunicazioni rappresentano il sistema nervoso degli Stati moderni. Attraverso quelle reti passano comunicazioni personali, conversazioni politiche, attività investigative, richieste giudiziarie, metadati, traffico aziendale, collegamenti governativi e informazioni operative. Matrice Digitale ha raccontato il salto di qualità nell’articolo Tesoro e telecomunicazioni USA nel mirino della Cina, dove Salt Typhoon viene collegato alla violazione di nove società di telecomunicazioni statunitensi e al più ampio scenario di attacchi cinesi contro infrastrutture critiche. Il dato più rilevante non è soltanto il numero delle vittime, ma la natura dei sistemi colpiti: reti che custodiscono comunicazioni e procedure sensibili, incluse quelle legate alle richieste giudiziarie. Il tema è riemerso con ancora più forza nell’articolo Allerta FBI: violati i sistemi di intercettazione e scatta la truffa dei permessi edilizi via email, dove viene indicata una possibile connessione con Salt Typhoon nella violazione di infrastrutture usate per warrant di intercettazione e attività di intelligence straniera. Questo dettaglio è cruciale: se un attore ostile riesce ad avvicinarsi ai sistemi che gestiscono intercettazioni legali, non sta semplicemente spiando cittadini o aziende, ma sta entrando nel rapporto tra sicurezza nazionale, autorità giudiziaria, investigazione e comunicazioni strategiche. La raccomandazione della CISA all’uso di app cifrate, raccontata da Matrice Digitale in Salt Thypoon e APT29: a rischio Signal e RDP, mostra il livello di allarme prodotto dalle violazioni alle telecomunicazioni statunitensi. Quando un’agenzia di sicurezza suggerisce di proteggere le comunicazioni con strumenti cifrati dopo la compromissione di operatori telefonici, significa che il problema non riguarda più soltanto la rete degli operatori, ma la fiducia stessa nella comunicazione ordinaria.
Il caso Cisco e la vulnerabilità dei dispositivi di rete
Salt Typhoon ha dimostrato una capacità ricorrente di sfruttare dispositivi di rete non aggiornati o mal configurati. La questione Cisco è una delle più importanti perché riguarda apparati usati in infrastrutture critiche, provider, università e organizzazioni globali. In Salt Typhoon sfrutta vulnerabilità nei dispositivi Cisco, Matrice Digitale ha raccontato la compromissione di oltre mille dispositivi Cisco vulnerabili riconducibile a RedMike, nome associato a Salt Typhoon, con target distribuiti tra Stati Uniti, Regno Unito, Sudafrica, Italia, Thailandia, Myanmar e università in diversi Paesi. Questo dato pesa anche per l’Italia: nell’articolo viene citata la presenza di ISP italiani compromessi, segnale che la minaccia non è confinata agli Stati Uniti o all’Indo-Pacifico. L’attacco sfruttava vulnerabilità in Cisco IOS XE, tra cui CVE-2023-20198 e CVE-2023-20273, con l’obiettivo di ottenere privilegi amministrativi e garantire accesso persistente. La scelta dei dispositivi di rete non è casuale. Un router o un firewall compromesso non è un endpoint qualsiasi: è un punto di osservazione privilegiato, un nodo da cui si può monitorare traffico, creare tunnel, intercettare configurazioni e preparare movimenti successivi. La stessa linea è stata approfondita nell’articolo Salt Typhoon, Cisco conferma vulnerabilità nelle telecomunicazioni statunitensi, dove il gruppo viene descritto mentre usa credenziali valide sottratte, configurazioni deboli e dispositivi di rete per muoversi dentro infrastrutture TLC. Qui emerge uno degli elementi più insidiosi: l’attaccante non sempre deve usare malware rumorosi se può sfruttare credenziali vere e apparati legittimi. La rete stessa diventa il mezzo dell’intrusione. Quando la FCC ha iniziato a discutere misure più severe sui router esteri, Matrice Digitale ha collegato il tema alla pressione prodotta da attori come Salt Typhoon. Nell’articolo Guerra ai Router e scacco a Siri: il 24 marzo che ha ridisegnato i confini del potere tecnologico, la restrizione sui router Wi-Fi prodotti all’estero viene letta come risposta alla paura che i dispositivi di rete possano diventare spie diffuse dentro case, aziende e infrastrutture. Non è più solo cyber difesa: è politica industriale, sicurezza nazionale e controllo della supply chain hardware.
Dagli Stati Uniti all’Europa: Salt Typhoon cambia scala
Per mesi Salt Typhoon è stato raccontato soprattutto come un problema americano. Poi la minaccia è arrivata in Europa. Matrice Digitale lo ha spiegato nell’articolo Salt Typhoon arriva in Europa: colpita una rete di telecomunicazioni europea, dove viene descritta un’intrusione rilevata da Darktrace dentro un’organizzazione europea di telecomunicazioni. Gli attaccanti avrebbero sfruttato una vulnerabilità in Citrix NetScaler Gateway e distribuito un malware personalizzato chiamato SNAPPYBEE, noto anche come Deed RAT, tramite tecniche di DLL side-loading con software antivirus legittimi. La tecnica è significativa. L’uso di software legittimi per caricare componenti malevoli consente di confondere le difese, ridurre il rumore e sfruttare la fiducia dei sistemi verso binari apparentemente affidabili. Il gruppo non agisce quindi soltanto con exploit e credenziali, ma con una catena multi-stage pensata per restare sotto la soglia di rilevazione. In un settore come le telecomunicazioni europee, questo significa poter costruire accessi silenziosi dentro infrastrutture dove il tempo di permanenza è più importante della velocità dell’attacco. Il caso europeo assume un peso ulteriore se letto insieme alla notizia romana. L’indagine dell’Antiterrorismo di Roma si colloca in un momento in cui Salt Typhoon è già stato osservato fuori dal perimetro americano. L’Europa non è più un teatro secondario. È un’area in cui la minaccia può colpire reti TLC, fornitori, infrastrutture pubbliche e catene digitali collegate alla pubblica amministrazione. La PA italiana non deve chiedersi se questa minaccia sia lontana, ma quali parti della propria filiera siano già esposte allo stesso modello di attacco.
Viasat, Canada e la dimensione globale del gruppo
La globalizzazione della minaccia emerge con chiarezza nei casi Viasat e Canada. In Viasat sotto attacco: Salt Typhoon compromette reti globali, Matrice Digitale ha raccontato l’attacco al colosso delle telecomunicazioni satellitari, dove il gruppo legato al governo cinese avrebbe compromesso una parte delle reti aziendali globali senza impattare direttamente la fornitura dei servizi ai clienti. Il dettaglio è importante perché chiarisce ancora una volta la logica dell’operazione: non sempre l’obiettivo è distruggere o interrompere. Spesso è entrare, osservare, mappare e raccogliere. Le telecomunicazioni satellitari sono un target di grande valore perché collegano reti commerciali, comunicazioni remote, servizi governativi, trasporti, difesa e infrastrutture in aree dove la connettività tradizionale non è sempre disponibile. Compromettere ambienti aziendali globali in un soggetto del genere significa ottenere una finestra su configurazioni, processi, dati operativi e informazioni strategiche. Il fronte canadese è stato analizzato in Attività cyber della Cina nel settore TLC: Canada fa un focus su Salt Typhoon. Il Canadian Centre for Cyber Security e l’FBI hanno segnalato un’intensa attività di cyber-spionaggio attribuita ad attori statali della Repubblica Popolare Cinese e identificata nel gruppo Salt Typhoon. L’avviso evidenziava come aziende di telecomunicazioni, fornitori e clienti fossero tra gli obiettivi più appetibili. In un caso, secondo la ricostruzione, erano stati compromessi apparati di un’azienda TLC canadese, con estrazione di configurazioni e attivazione di tunnel GRE per il monitoraggio del traffico. Questo è uno dei passaggi tecnici più chiari per capire Salt Typhoon: non si limita a rubare dati da un database, ma lavora sui livelli infrastrutturali del traffico. Se un dispositivo di rete viene trasformato in punto di osservazione, l’attaccante può monitorare flussi, creare canali, preparare pivot e usare l’infrastruttura compromessa anche per ulteriori attacchi.
FBI, FCC e FTC: la risposta istituzionale americana
La gravità delle campagne attribuite a Salt Typhoon ha costretto le autorità statunitensi a muoversi su più piani. Matrice Digitale ha raccontato il ruolo del Bureau in FBI chiede informazioni su Salt Typhoon e aiuto, articolo in cui viene descritto un avviso formale rivolto a cittadini, aziende e specialisti per raccogliere informazioni su attività ostili attribuite al gruppo cinese. Il Bureau collegava Salt Typhoon a una campagna estesa di compromissione di infrastrutture critiche statunitensi, in particolare nel settore delle telecomunicazioni. L’aspetto più inquietante riguarda i dati compromessi: log delle chiamate, una quantità limitata di comunicazioni private tra vittime identificate e documenti soggetti a richieste giudiziarie. Non è spionaggio generico, ma raccolta su comunicazioni e strumenti legali. Questo spiega perché l’allarme Salt Typhoon abbia superato rapidamente il perimetro tecnico per diventare una questione di sicurezza nazionale. Sul piano regolatorio, Matrice Digitale ha seguito anche gli interventi di FCC e FTC in FCC e FTC: azioni contro i rischi Salt Typhoon e GoDaddy. Gli attacchi contro le reti di telecomunicazioni, inclusi grandi operatori come AT&T, Verizon e Lumen Technologies, hanno evidenziato vulnerabilità nel sistema di intercettazioni legali e nella protezione delle comunicazioni sensibili. La risposta istituzionale americana ha provato a trasformare l’incidente in politica di sicurezza: non più solo patch e comunicati, ma obblighi, controlli, standard e pressione regolatoria. Il problema è che questa risposta non sempre resta lineare. Nell’articolo Minacce cyber via LinkedIn in UK e strategia offensiva Usa contro attori ostili da Cina e Iran, Matrice Digitale ha raccontato anche la revoca di regole FCC introdotte dopo gli attacchi Salt Typhoon. Questo dimostra che la cybersecurity, soprattutto quando tocca reti e operatori privati, resta un terreno conteso tra sicurezza nazionale, deregolazione, lobbying industriale e capacità effettiva dello Stato di imporre standard.
Salt Typhoon dentro la costellazione cinese
Salt Typhoon non è un corpo isolato. La sua attività si inserisce dentro una costellazione più ampia di gruppi cinesi che condividono obiettivi, strumenti, infrastrutture o settori di interesse. Matrice Digitale ha raccontato questo intreccio in APT41 e Salt Typhoon colpiscono ong statunitense influente sulla politica USA, dove l’attacco a una ONG americana attiva nel tentativo di influenzare la politica governativa su questioni internazionali mostra sovrapposizioni tra Kelp, Space Pirates, APT41 e Salt Typhoon. Il dato più interessante è l’uso di strumenti e tecniche condivise, come Deed RAT, DLL sideloading, task schedulati, componenti legittimi di Windows e tecniche di persistenza. L’operazione contro una ONG non ha lo stesso profilo di un attacco a un operatore TLC, ma la finalità resta coerente: osservare soggetti capaci di influenzare decisioni politiche occidentali. La Cina non prende di mira soltanto ministeri e agenzie; può colpire anche organizzazioni che contribuiscono alla costruzione della policy.
Un altro tassello arriva da Cyber-spionaggio in Sud America: UAT-9244 colpisce le telco con backdoor BitTorrent e scanner ORB. Cisco Talos attribuisce UAT-9244 con alta confidenza alla Cina e segnala l’associazione con Famous Sparrow. Matrice Digitale chiarisce che UAT-9244 e Salt Typhoon colpiscono entrambi il settore telecom, pur senza prove di collaborazione diretta. Questo è un passaggio utile perché evita semplificazioni: non tutto ciò che colpisce le telecomunicazioni è automaticamente Salt Typhoon, ma il settore è chiaramente prioritario per più attori cinesi. Lo stesso vale per Spionaggio nel cloud: Google smantella Gridtide, la rete cinese che usava i “fogli di calcolo” per rubare dati di Stato. Gridtide, attribuito a UNC2814 e collegato alla Repubblica Popolare Cinese, sfruttava infrastrutture e API cloud per confondersi nel traffico legittimo, mantenere persistenza ed esfiltrare informazioni. Il filo comune con Salt Typhoon non è il nome del gruppo, ma la logica: usare infrastrutture fidate, servizi ordinari e componenti apparentemente legittimi per rendere invisibile l’intelligence.
La guida NSA e la difesa contro gli attori cinesi
La risposta occidentale non si limita alle indagini. Nell’articolo NSA rilascia una guida per la difesa da cyberattacchi cinesi, Matrice Digitale ha raccontato una Cybersecurity Advisory congiunta pubblicata da NSA e agenzie alleate per contrastare attori statali della Repubblica Popolare Cinese. Il documento affrontava minacce APT contro infrastrutture critiche globali, comprese telecomunicazioni, enti governativi, trasporti, alloggi e comparti militari, segnalando sovrapposizioni con cluster come Salt Typhoon. Il valore di quella guida è duplice. Da un lato, conferma che Salt Typhoon rientra nel perimetro di una minaccia riconosciuta a livello multilaterale, non in una semplice attribuzione mediatica. Dall’altro, mostra che la difesa deve concentrarsi su accesso iniziale, persistenza, raccolta ed esfiltrazione dati. In pratica, non basta bloccare malware noti. Serve osservare comportamenti anomali, proteggere dispositivi edge, ridurre privilegi, correggere configurazioni, monitorare tunnel, controllare credenziali e rendere visibili le attività nei livelli di rete più profondi.
Questa lezione vale anche per l’Italia. La nuova attenzione dell’Antiterrorismo romano deve tradursi in una domanda concreta: quanti fornitori pubblici, operatori, sistemi gestiti e apparati di rete sono davvero monitorati contro tecniche di persistenza statale? Una PA può avere contratti, certificazioni e procedure, ma se un apparato esposto resta vulnerabile, se le credenziali amministrative non sono protette o se il traffico anomalo non viene visto, la catena di fiducia resta penetrabile.
La sicurezza nazionale italiana e il punto debole della filiera
La Relazione sulla sicurezza nazionale italiana, raccontata da Matrice Digitale in Governare il cambiamento: scenari, sfide e prospettive della sicurezza nazionale nel 2026, offre il contesto più ampio per leggere il caso Salt Typhoon. La tecnologia non è più un semplice acceleratore dell’innovazione, ma un volano di trasformazione sistemica che influenza società, economia, politica e dominio militare. La minaccia non è più episodica, ma continua, multidimensionale e sfumata. La pubblica amministrazione italiana vive dentro questa trasformazione. La digitalizzazione dei servizi pubblici, la migrazione al cloud, la dipendenza da grandi fornitori, la gestione centralizzata delle identità, l’uso di piattaforme esterne e la frammentazione delle competenze locali creano una superficie complessa. In questo scenario, Salt Typhoon non deve necessariamente colpire il bersaglio finale. Può entrare attraverso un fornitore, un servizio, un apparato di rete, una VPN, un sistema di supporto, un router, una credenziale o un’infrastruttura intermedia. L’articolo CyberSentry perde fondi mentre la Cina buca agenzia nucleare USA e ruba dati a Waymo mostra quanto sia fragile anche il sistema americano quando programmi di monitoraggio su infrastrutture critiche perdono continuità. Se negli Stati Uniti l’interruzione di un programma di difesa può lasciare scoperti settori vitali, in Italia il problema diventa ancora più delicato per la stratificazione di fornitori, competenze disomogenee e infrastrutture pubbliche spesso nate in epoche tecnologiche diverse. Il caso Salt Typhoon deve quindi essere letto come un avviso preventivo: la sovranità digitale non si misura solo dalla proprietà dei dati, ma dalla capacità di vedere chi attraversa le reti che quei dati trasportano.
Il terreno geopolitico: Cina, USA, Australia e infrastrutture critiche
Salt Typhoon è parte della competizione geopolitica tra Cina e Occidente. In Cina accusa USA di furto Bitcoin e ASIO avverte su sabotaggi digitali. Uk verifica i bus di Pechino, Matrice Digitale ha raccontato un quadro globale in cui accuse reciproche, allarmi ASIO su possibili sabotaggi digitali e indagini britanniche su tecnologie cinesi mostrano la centralità delle infrastrutture nella rivalità tra potenze. La Cina accusa gli Stati Uniti, gli Stati Uniti attribuiscono campagne alla Cina, l’Australia avverte sui sabotaggi, il Regno Unito verifica rischi di accesso remoto nei bus cinesi, le autorità americane restringono dispositivi e supply chain. In mezzo ci sono reti, router, cloud, telecomunicazioni, software, firmware, piattaforme, veicoli connessi, sistemi energetici e apparati pubblici. È qui che Salt Typhoon diventa più di un gruppo: è il simbolo di un modello in cui lo spionaggio non entra soltanto nei palazzi, ma nei cavi, nei protocolli e nei dispositivi che collegano i palazzi al mondo. Anche l’articolo Cina attacca Telco e Tesoro USA, e diffonde malware EAGERBEE si muove dentro lo stesso contesto, intrecciando telecomunicazioni, Dipartimento del Tesoro statunitense e malware collegato a operazioni cinesi. La convergenza è evidente: la Cina concentra attenzione su ciò che produce vantaggio informativo, capacità di previsione, accesso a decisioni economiche e controllo indiretto delle comunicazioni. Il caso Earth Estries: l’APT cinese minaccia i settori critici globali aggiunge un altro nome al mosaico, perché Earth Estries viene spesso associato a Salt Typhoon o FamousSparrow. La pluralità dei nomi non deve confondere: nel cyber-spionaggio le tassonomie cambiano in base a vendor, intelligence e cluster osservati, ma il bersaglio resta coerente. Telecomunicazioni, governi e infrastrutture critiche sono i punti dove l’intelligence digitale produce più valore.
Il ritorno sul caso romano
La notizia romana va quindi letta dentro questa cornice. Se l’Antiterrorismo indaga su presunte intrusioni nei sistemi gestiti da una società del gruppo IBM, la domanda centrale non è soltanto “chi è entrato?”. La domanda vera è:
quale porzione della filiera pubblica è stata esposta, quale livello di accesso è stato tentato, quali dati o funzioni potevano essere osservati e quali rapporti di fiducia tecnica sono stati sfruttati?
Salt Typhoon è il nome giusto per far scattare questa domanda perché la sua storia operativa dimostra una preferenza per le reti che trasportano valore informativo. Gli attacchi alle telecomunicazioni statunitensi, i casi Cisco, la penetrazione in infrastrutture europee, l’attenzione canadese, il coinvolgimento dell’FBI, le misure FCC e la guida NSA compongono un’unica lettura: la minaccia cinese non punta soltanto ai dati archiviati, ma ai canali attraverso cui i dati si muovono. Per l’Italia, questo significa che la protezione della PA non può essere ridotta alla sicurezza dei portali o dei database. Deve includere fornitori, apparati di rete, piattaforme di supporto, identità amministrative, ambienti cloud, VPN, sistemi di logging, canali di comunicazione e contratti tecnologici. L’attacco moderno non rispetta il perimetro burocratico dello Stato: passa dove trova accesso, anche se quel punto si trova in una società privata che gestisce un pezzo di infrastruttura pubblica.
Matrice Digitale come archivio della minaccia cinese
La ricostruzione di Salt Typhoon mostra anche il valore dell’archivio Matrice Digitale. Non basta un articolo di cronaca per capire un gruppo del genere. Serve una stratificazione di analisi che attraversi mesi e anni. La Mappa della Guerra Cibernetica permette di collocare Salt Typhoon dentro la geografia degli attori persistenti avanzati, mentre l’Enciclopedia della Guerra Cibernetica e della Geopolitica offre il contesto per leggere gruppi, campagne, attribuzioni e relazioni tra cyberwar e interessi statali. Questa profondità è decisiva perché Salt Typhoon non è solo una notizia. È un caso di studio su come uno Stato possa usare gruppi APT, contractor, vulnerabilità, dispositivi di rete e infrastrutture globali per trasformare il traffico digitale in intelligence. Gli articoli Matrice su Cisco, Viasat, Canada, FBI, FCC, NSA, Gridtide, UAT-9244 e sicurezza nazionale mostrano la stessa direttrice:
la guerra cibernetica non è più una sequenza di incidenti, ma un sistema continuo di pressione sulle infrastrutture che reggono la vita pubblica.
In questo senso, l’Italia deve leggere Salt Typhoon come un avversario sistemico, non come un nome esotico apparso in una cronaca giudiziaria. Il gruppo incarna una minaccia che sfrutta la complessità della modernità digitale: più la PA si connette, più aumenta il valore delle reti; più le reti diventano gestite da fornitori, più cresce il valore della supply chain; più i servizi pubblici dipendono da piattaforme esterne, più l’attacco può spostarsi fuori dal perimetro apparente dello Stato.
FAQ
Chi è Salt Typhoon
Salt Typhoon è un gruppo di cyber-spionaggio attribuito alla Cina, associato anche a nomi come Earth Estries, GhostEmperor, FamousSparrow o cluster collegati a seconda delle tassonomie usate dagli analisti. La sua attività si concentra soprattutto su telecomunicazioni, provider, infrastrutture governative, dispositivi di rete, sistemi di intercettazione legale e organizzazioni ad alto valore politico. Il gruppo usa vulnerabilità note e zero-day, credenziali valide, configurazioni deboli, tunnel, malware come SNAPPYBEE/Deed RAT, DLL side-loading, persistenza stealth e movimento laterale. La sua pericolosità non deriva da un singolo malware, ma dalla combinazione tra obiettivi strategici e accesso infrastrutturale. Salt Typhoon non vuole soltanto compromettere computer; vuole entrare nei punti in cui passano comunicazioni, relazioni e decisioni. Per questo il suo nome pesa nell’indagine romana: perché una possibile intrusione in sistemi collegati alla pubblica amministrazione non è mai solo un problema tecnico, ma un segnale sulla vulnerabilità della catena digitale dello Stato.
Che cos’è Salt Typhoon?
Salt Typhoon è un gruppo di cyber-spionaggio attribuito alla Cina e associato ad attività contro reti di telecomunicazioni, provider Internet, infrastrutture governative e sistemi critici. A differenza del cybercrime comune, non punta principalmente al riscatto economico, ma alla raccolta silenziosa di informazioni strategiche, metadati, comunicazioni e accessi persistenti.
Perché Salt Typhoon è finito nell’indagine dell’antiterrorismo di Roma?
Il nome Salt Typhoon è emerso nella notizia sull’indagine dell’Antiterrorismo di Roma relativa a presunte intrusioni nei sistemi gestiti da Sistemi Informativi, società del gruppo IBM, collegati alla pubblica amministrazione. Il caso è rilevante perché sposta la minaccia cyber cinese dentro il perimetro italiano, dove fornitori tecnologici, PA e infrastrutture digitali diventano possibili bersagli di intelligence straniera.
Salt Typhoon e Silk Typhoon sono lo stesso gruppo?
No. Salt Typhoon e Silk Typhoon sono gruppi distinti attribuiti alla Cina. Salt Typhoon è legato soprattutto ad attività contro telecomunicazioni, reti e provider, mentre Silk Typhoon, noto anche come Hafnium, è associato a campagne contro Microsoft Exchange, supply chain IT, cloud, ricerca sanitaria e apparati governativi. Entrambi appartengono allo stesso scenario geopolitico, ma non vanno confusi.
Quali sono gli obiettivi principali di Salt Typhoon?
Gli obiettivi principali di Salt Typhoon sono operatori di telecomunicazioni, provider Internet, router, firewall, VPN, infrastrutture di rete, sistemi governativi e apparati collegati alle intercettazioni legali. Il gruppo punta ai nodi attraverso cui passano comunicazioni e dati, perché controllare o osservare una rete significa poter accedere a informazioni politiche, investigative, economiche e strategiche.
Perché le telecomunicazioni sono così importanti per Salt Typhoon?
Le telecomunicazioni rappresentano il sistema nervoso degli Stati moderni. Attraverso reti telefoniche, provider Internet e infrastrutture TLC passano comunicazioni private, attività giudiziarie, metadati, traffico aziendale e informazioni governative. Per un attore di cyber-spionaggio, entrare in questi sistemi significa ottenere una finestra privilegiata su relazioni, contatti, decisioni e movimenti informativi.
Quali tecniche usa Salt Typhoon?
Salt Typhoon sfrutta vulnerabilità in dispositivi di rete, credenziali valide, configurazioni deboli, router compromessi, firewall, VPN, tunnel di rete, DLL side-loading, malware personalizzati e tecniche di persistenza stealth. Il gruppo tende a usare strumenti che gli consentono di restare nascosto e di muoversi dentro infrastrutture complesse senza generare immediatamente segnali evidenti di compromissione.
Perché i dispositivi Cisco sono stati collegati a Salt Typhoon?
Salt Typhoon è stato associato a campagne che hanno sfruttato vulnerabilità in dispositivi Cisco IOS XE e apparati di rete esposti. Questi dispositivi sono particolarmente sensibili perché gestiscono traffico, connessioni e configurazioni critiche. Un router o un firewall compromesso non è un semplice computer violato, ma un punto di osservazione e controllo dentro l’infrastruttura di comunicazione.
Salt Typhoon rappresenta una minaccia anche per l’Italia?
Sì. La minaccia riguarda l’Italia perché il Paese dipende da fornitori tecnologici, reti pubbliche, infrastrutture digitali, servizi gestiti, cloud, VPN e apparati di telecomunicazione. Se un gruppo come Salt Typhoon riesce a sfruttare un fornitore o un nodo di rete collegato alla pubblica amministrazione, il rischio non riguarda solo il singolo sistema compromesso, ma l’intera catena di fiducia digitale dello Stato.
Qual è la differenza tra un attacco ransomware e un’operazione Salt Typhoon?
Un attacco ransomware punta a cifrare dati e chiedere un riscatto. Un’operazione attribuita a Salt Typhoon punta invece alla permanenza silenziosa, alla raccolta di informazioni e al controllo di punti strategici della rete. Nel ransomware il danno è spesso visibile e immediato; nel cyber-spionaggio statale il valore sta proprio nel fatto che l’attacco può restare invisibile per mesi.
Perché Salt Typhoon è un problema di sicurezza nazionale?
Salt Typhoon è un problema di sicurezza nazionale perché prende di mira reti che trasportano comunicazioni, dati governativi e informazioni sensibili. Quando un attore straniero può osservare traffico, configurazioni, metadati o comunicazioni collegate a istituzioni e operatori critici, il tema supera la normale cybersecurity aziendale e diventa una questione di sovranità, intelligence e difesa dello Stato.
Che cosa insegna il caso Salt Typhoon alla pubblica amministrazione?
Il caso Salt Typhoon insegna che la pubblica amministrazione non può proteggere solo portali, database e applicazioni finali. Deve controllare anche fornitori, router, VPN, sistemi di supporto remoto, credenziali amministrative, apparati TLC, cloud e log di rete. La minaccia moderna entra spesso dalla filiera tecnica, non dal punto più visibile dell’infrastruttura pubblica.
Perché Matrice Digitale segue Salt Typhoon?
Matrice Digitale segue Salt Typhoon perché il gruppo rappresenta uno dei casi più chiari di convergenza tra cyber-spionaggio, telecomunicazioni, geopolitica, sicurezza nazionale e dipendenza tecnologica. Gli articoli pubblicati su Cisco, Viasat, FBI, FCC, NSA, Canada, Europa e PA italiana permettono di leggere Salt Typhoon non come una sigla isolata, ma come parte della guerra cibernetica globale.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
