spionaggio cina india polizia pakistan balochistan

Spionaggio Cina-India converge sulle forze dell’ordine del Pakistan

🛡️ Executive Summary

  • Due attori Cina-nexus e India-nexus hanno compromesso infrastrutture della polizia pakistana tra febbraio 2024 e aprile 2026.
  • Gli aggressori hanno colpito portali web, sistemi biometrici e FortiMail usando PlugX, ShadowPad, Cobalt Strike, AsyncRAT e Remcos.
  • La difesa richiede monitoraggio degli appliance esposti, verifica degli IOC e segmentazione dei sistemi che gestiscono dati di polizia.

Due attori di spionaggio riconducibili rispettivamente agli ecosistemi cyber di Cina e India hanno condotto campagne parallele contro le forze dell’ordine pakistane, convergendo sulle stesse infrastrutture e sugli stessi archivi sensibili. L’attività, osservata tra febbraio 2024 e aprile 2026, ha coinvolto soprattutto la Balochistan Police, ma anche organizzazioni della Khyber Pakhtunkhwa, di Islamabad e del Punjab. Gli aggressori hanno preso di mira portali web dedicati alla gestione di denunce, dati biometrici, registri criminali, personale, veicoli, strutture ricettive e reclami dei cittadini, oltre a un appliance Fortinet FortiMail utilizzato come gateway di posta elettronica. L’attore Cina-nexus ha impiegato PlugX, ShadowPad, Cobalt Strike, AsyncRAT e implant personalizzati, mentre il gruppo India-nexus TAG-179 ha distribuito Remcos attraverso esche strettamente legate alle dinamiche di sicurezza pakistane. La sovrapposizione degli obiettivi evidenzia il valore strategico del Balochistan, area centrale per il China-Pakistan Economic Corridor e per la competizione geopolitica regionale.

La Balochistan Police diventa un obiettivo strategico per due avversari

Annuncio
image 316
Spionaggio Cina-India converge sulle forze dell’ordine del Pakistan 7

La campagna ha interessato principalmente i sistemi della Balochistan Police, organizzazione che gestisce informazioni di alto valore sulla sicurezza interna di una regione attraversata da tensioni separatiste, investimenti infrastrutturali e interessi militari. Gli aggressori hanno compromesso server web, appliance di rete e applicazioni utilizzate quotidianamente da personale di polizia e cittadini. Tra i sistemi coinvolti figurano i portali per la registrazione dei First Information Report, l’Human Resource Management Information System, l’Anti-Vehicle Lifting System, la piattaforma HotelEye per il controllo degli ospiti, il Criminal Record Management System, il Tenant Registration System e il Complaint Management System. Questi ambienti possono contenere generalità, fotografie, impronte digitali, dati anagrafici, cronologie operative, informazioni sui veicoli e dettagli relativi a indagini o segnalazioni. La compromissione offre quindi capacità di intelligence più ampie rispetto al semplice accesso a una rete amministrativa, perché permette di ricostruire attività investigative, movimenti di persone, strutture organizzative e priorità delle forze dell’ordine.

I sistemi Smart Police Station ampliano la superficie di attacco

Il progetto Smart Police Station ha digitalizzato numerosi processi amministrativi e investigativi, migliorando l’efficienza delle autorità ma concentrando quantità rilevanti di dati in applicazioni web raggiungibili attraverso infrastrutture esposte. La convergenza di due attori rivali sulle stesse piattaforme mostra come la trasformazione digitale delle forze dell’ordine possa creare un bersaglio particolarmente appetibile per operazioni di intelligence.

image 318
Documento esca

Un accesso al sistema delle denunce può rivelare identità di testimoni, vittime e sospettati, mentre la compromissione di piattaforme per hotel e registrazione degli affittuari consente di monitorare spostamenti e presenze sul territorio. I sistemi delle risorse umane possono invece fornire dettagli su ruoli, unità operative, recapiti e catene di comando. L’interesse non è limitato alla raccolta passiva: un aggressore con controllo persistente potrebbe alterare dati, cancellare segnalazioni, introdurre record falsi o utilizzare i portali compromessi per distribuire malware ad altri dipendenti e cittadini.

L’attore Cina-nexus installa implant nei portali della polizia

L’attore associato alla Cina ha compromesso in particolare il Complaint Management System della Balochistan Police, installando implant personalizzati presentati come aggiornamenti o componenti legittimi del portale. Questa posizione permetteva di colpire sia gli operatori interni sia i cittadini che utilizzavano il servizio per inviare reclami. La catena includeva uno stager sviluppato in Rust, progettato per scaricare un payload da un’infrastruttura Cobalt Strike, e un secondo impianto basato su .NET che si mascherava attraverso il nome 360Safe.exe. Quest’ultimo caricava in modo riflessivo un client AsyncRAT, evitando l’installazione tradizionale del payload sul disco e riducendo l’esposizione ai controlli statici. L’utilizzo di linguaggi differenti, tecniche di reflective loading e nomi che richiamano software di sicurezza legittimo indica un’operazione orientata alla persistenza e alla riduzione della visibilità. Il controllo del portale poteva inoltre trasformarlo in un punto di distribuzione affidabile, sfruttando la reputazione del dominio governativo per raggiungere ulteriori vittime.

PlugX, ShadowPad e Cobalt Strike definiscono il profilo cinese

Oltre agli implant personalizzati, l’attore Cina-nexus ha utilizzato strumenti consolidati nell’ecosistema dello spionaggio statale, tra cui PlugX, ShadowPad e Cobalt Strike. PlugX è una backdoor modulare frequentemente osservata in campagne attribuite a gruppi cinesi e consente esecuzione di comandi, raccolta di file, persistenza e controllo remoto. ShadowPad rappresenta invece una piattaforma più avanzata, impiegata in operazioni di lunga durata contro governi, difesa, telecomunicazioni e infrastrutture critiche. Cobalt Strike, pur essendo uno strumento commerciale per penetration test, viene utilizzato dagli attaccanti per distribuire beacon, eseguire movimenti laterali e mantenere canali di comando e controllo. I campioni analizzati includevano percorsi PDB e messaggi di log in cinese semplificato, elementi che suggeriscono il coinvolgimento di sviluppatori di lingua cinese. Questi indicatori non costituiscono da soli una prova definitiva di attribuzione, ma assumono valore quando vengono correlati con infrastrutture, malware, procedure operative e victimologia coerenti.

I server di comando e controllo rivelano una campagna internazionale

L’infrastruttura associata all’attore Cina-nexus non risultava limitata al Pakistan. I server di Command and Control collegati alle intrusioni mostravano comunicazioni con entità governative, organizzazioni della difesa e istituti di ricerca distribuiti tra Asia, Medio Oriente ed Europa. Questa ampiezza suggerisce una campagna di intelligence strutturata, nella quale la compromissione della Balochistan Police rappresenta uno dei diversi obiettivi regionali.

image 317
Cronologia del traffico C2 verso le forze dell’ordine pakistane

L’accesso ai dati di sicurezza pakistani può supportare il monitoraggio delle minacce contro cittadini, tecnici e infrastrutture cinesi coinvolti nel CPEC, il corridoio economico che collega la Cina al porto di Gwadar. La regione è teatro di attacchi rivendicati da organizzazioni come il Balochistan Liberation Army, che hanno colpito interessi cinesi e personale straniero. La raccolta di informazioni dalle forze dell’ordine può quindi offrire visibilità su indagini, misure di protezione, reti militanti e valutazioni del rischio elaborate dalle autorità locali.

TAG-179 sfrutta esche sulla repatriazione di cittadini afghani

L’attore India-nexus, tracciato come TAG-179, ha adottato una strategia differente, basata su documenti e comunicazioni tematiche direttamente collegate alle attività delle autorità pakistane. Le esche riguardavano la repatriazione di stranieri considerati irregolari e coinvolgevano titolari di Afghan Citizen Card, strutture di polizia distrettuale, la National Database and Registration Authority e organizzazioni di intelligence. La scelta di questi argomenti aumenta la probabilità che il personale destinatario apra i documenti o esegua i file allegati, perché i contenuti risultano coerenti con le responsabilità operative delle vittime. TAG-179 presenta sovrapposizioni con cluster precedentemente identificati come Mysterious Elephant e APT-C-08, noto anche come Bitter. Questi gruppi sono stati associati a campagne contro governi, difesa e organizzazioni diplomatiche dell’Asia meridionale, spesso attraverso spear phishing, documenti malevoli e malware commerciali o facilmente reperibili.

Remcos offre controllo remoto e raccolta silenziosa dei dati

Il principale payload associato a TAG-179 è Remcos, un software di amministrazione remota legittimo frequentemente abusato nelle campagne di spionaggio e cybercrime. Una volta eseguito, Remcos permette di raccogliere informazioni sul sistema, acquisire schermate, registrare sequenze di tasti, esfiltrare file, eseguire comandi e controllare periferiche come microfono e webcam. La disponibilità commerciale dello strumento consente agli aggressori di ridurre i costi di sviluppo e di confondere l’attribuzione, perché lo stesso payload viene utilizzato da attori con motivazioni differenti. Nel caso pakistano, l’elemento più rilevante non è quindi la sofisticazione del malware, ma la precisione delle esche e la selezione delle vittime. I server Remcos collegati alla campagna mostravano una victimologia concentrata in Asia meridionale, Sud-Est asiatico e Medio Oriente, con obiettivi governativi, militari e manifatturieri. Questa distribuzione è coerente con una raccolta di intelligence orientata alla sicurezza regionale e alle capacità industriali.

Il Balochistan concentra gli interessi strategici di Cina e India

La convergenza dei due attori riflette la centralità geopolitica del Balochistan, provincia pakistana ricca di risorse, affacciata sul Mar Arabico e attraversata da infrastrutture considerate essenziali per la strategia economica cinese. Pechino ha investito nel porto di Gwadar, nelle reti stradali, energetiche e logistiche del CPEC, trasformando la sicurezza locale in una priorità nazionale. L’accesso ai dati delle forze dell’ordine può aiutare a valutare minacce contro personale e progetti cinesi, monitorare gruppi separatisti e comprendere le capacità di risposta del Pakistan. Per l’India, le informazioni sulla regione possono offrire visibilità sulla postura di sicurezza pakistana, sulle attività delle agenzie federali e sulle dinamiche relative alle accuse di sostegno a gruppi militanti transfrontalieri. La presenza contemporanea di due campagne non implica collaborazione tra gli attori, ma dimostra come obiettivi con un elevato valore informativo possano attrarre avversari geopoliticamente contrapposti.

FortiMail e portali web richiedono controlli di sicurezza più rigorosi

La compromissione di un appliance Fortinet FortiMail conferma il ruolo degli apparati perimetrali nelle campagne di spionaggio. I gateway di posta gestiscono messaggi, allegati, credenziali amministrative e comunicazioni interne, diventando punti privilegiati per la raccolta di intelligence e la distribuzione di malware. Gli appliance spesso rimangono operativi per lunghi periodi e possono ricevere aggiornamenti con ritardo, soprattutto quando sono considerati infrastrutture stabili.

image 319
La pagina di destinazione del CMS

Anche i portali web della polizia rappresentano una superficie critica, perché combinano accesso pubblico, funzioni amministrative e connessioni verso database interni. Le organizzazioni devono separare rigorosamente i sistemi esposti dalle reti che ospitano dati biometrici e investigativi, applicare autenticazione multifattore agli account amministrativi, aggiornare firmware e componenti applicativi e monitorare le modifiche ai file ospitati sui server. Qualsiasi eseguibile inatteso, nuovo script o aggiornamento non autorizzato deve essere trattato come un possibile indicatore di compromissione.

Gli IOC permettono di correlare malware e infrastrutture

Le attività associate ai due cluster includono indirizzi IP, domini di comando e controllo, URL utilizzati per ospitare implant e hash SHA-1 relativi a launcher, backdoor e documenti di esca. Questi indicatori possono supportare attività di hunting su endpoint, proxy, DNS, firewall e sistemi di posta, ma devono essere utilizzati insieme a rilevamenti comportamentali. Gli indirizzi IP e i domini possono cambiare rapidamente, mentre le tecniche operative tendono a essere più persistenti. Per l’attore Cina-nexus risultano rilevanti l’esecuzione di stager Rust, il caricamento riflessivo di AsyncRAT, la presenza di 360Safe.exe in percorsi anomali e le comunicazioni riconducibili a Cobalt Strike, PlugX o ShadowPad. Per TAG-179, gli analisti dovrebbero cercare documenti collegati a rimpatri, cittadini afghani e procedure di polizia, oltre a processi che avviano Remcos o stabiliscono connessioni verso infrastrutture non autorizzate. La correlazione temporale tra eventi su portali, gateway email e workstation può aiutare a ricostruire la catena completa.

La difesa richiede segmentazione e threat hunting continuativo

La campagna dimostra che le infrastrutture delle forze dell’ordine devono essere protette come ambienti critici, non come comuni reti amministrative. La segmentazione deve impedire che la compromissione di un portale pubblico o di un gateway email fornisca accesso diretto ai database biometrici, criminali e del personale. Gli accessi privilegiati devono essere limitati, registrati e sottoposti a verifica continua, mentre i server applicativi richiedono controlli di integrità sui file e monitoraggio delle connessioni in uscita. Le organizzazioni dovrebbero inoltre eseguire attività periodiche di threat hunting basate su tecniche MITRE ATT&CK, analizzando persistenza, caricamento di librerie, esecuzione di payload in memoria e comunicazioni verso infrastrutture C2. La sovrapposizione tra attori differenti rende insufficiente una difesa fondata sull’attribuzione: il controllo deve concentrarsi sui comportamenti osservabili e sulla protezione dei dati. In un contesto nel quale Cina e India convergono sulle stesse reti pakistane, la resilienza dipende dalla capacità di rilevare intrusioni persistenti prima che gli aggressori trasformino sistemi amministrativi in piattaforme di sorveglianza strategica.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto