Sommario
Il gruppo noto oggi come Silk Typhoon rappresenta un’evoluzione sofisticata di Hafnium, formazione cyber legata al Ministero della Sicurezza di Stato cinese (MSS). Attivo dal 2021, Hafnium è stato tra i primi ad abusare delle vulnerabilità di Microsoft Exchange Server, con particolare riferimento all’exploit ProxyLogon. Le sue attività hanno incluso l’intrusione nei server del Dipartimento del Tesoro degli Stati Uniti, che ha portato, negli anni successivi, all’introduzione di sanzioni mirate contro individui e aziende cinesi collegate al gruppo. Nel luglio 2025, il Dipartimento di Giustizia degli Stati Uniti ha ufficializzato le accuse contro Xu Zewei e Zhang Yu, figure chiave della struttura di Silk Typhoon, operanti sotto la supervisione della Shanghai State Security Bureau e formalmente impiegati da aziende come Powerock e Firetech. Queste società agivano come contractor di alto livello, consolidando una gerarchia operativa ben definita all’interno dell’infrastruttura del MSS.
Struttura operativa e gerarchia del MSS
L’ecosistema cyber legato al MSS si articola in livelli gerarchici, con contractor stabili e di livello elevato come Firetech al vertice, seguiti da entità di tier inferiore come iSoon, noto per la sua bassa qualità operativa e un morale interno frammentato, come mostrano file trapelati nel 2025. In questo panorama, Silk Typhoon rappresenta una cellula di punta, il cui comportamento riflette la strategia di spionaggio integrato tra cyber operation e HUMINT. Il gruppo si distingue anche per connessioni con attori noti come Chengdu404 e front company storiche come Wuhan Xiao Rui, già attive nel settore da oltre un decennio.
Tecniche di attacco e tool proprietari
La strategia offensiva di Silk Typhoon ruota attorno a TTPs (tecniche, tattiche e procedure) avanzate. L’accesso iniziale ai sistemi avviene tramite exploit su software esposti a internet, in particolare MES, sfruttando vulnerabilità zero-day per ottenere accesso remoto pre-autenticazione. Una volta penetrato il sistema, il gruppo impianta webshell persistenti che sopravvivono anche dopo l’applicazione delle patch di sicurezza. Gli strumenti sviluppati da Firetech sono coperti da brevetti cinesi e includono capacità uniche: collezione di evidenze remote da dispositivi Apple, decrittazione di hard disk, controllo remoto di router domestici e sistemi di sorveglianza ambientale. Questi strumenti ibridi combinano funzionalità cyber con l’estrazione diretta di intelligence, rendendo Silk Typhoon capace di operazioni miste tra informatica e spionaggio umano.
Vittime, settori strategici e indicatori di compromissione
I bersagli primari del gruppo includono contractor della difesa, think tank geopolitici, istituzioni accademiche e centri di ricerca su malattie infettive. L’esfiltrazione di dati sensibili e la manipolazione stealth delle infrastrutture informatiche sono costanti nelle campagne attribuite al gruppo, come emerso anche nei report forensi che identificano la presenza di IOC (indicatori di compromissione). Questi includono anomalie nei log di Exchange Server, traffico C2 proveniente da IP sospetti e presenza di webshell persistenti in ambienti compromessi.
Reazioni internazionali e implicazioni geopolitiche
Nel 2021, USA, Regno Unito e Unione Europea hanno rilasciato una condanna congiunta delle attività associate a Hafnium/Silk Typhoon, evento raro che ha posto la Cina in una posizione diplomatica delicata. Le indagini del DOJ hanno portato a sanzioni contro Yin Kecheng, figura già coinvolta in campagne precedenti, e all’ampliamento del focus investigativo verso nuove entità emergenti. L’analisi dei tool brevettati, in particolare quelli Firetech, ha rafforzato la capacità di mappare le operazioni su framework MITRE ATT&CK, evidenziando uno shift verso un modello industriale della cyber-intelligence statale cinese. L’integrazione di HUMINT, la stabilità dei contractor e la precisione operativa posizionano Silk Typhoon in cima alla catena gerarchica del MSS.
Difese e resilienza delle organizzazioni colpite
Le organizzazioni colpite, specialmente nei settori più sensibili, hanno iniziato a implementare strategie difensive proattive come segmentazione delle reti, isolamento dei sistemi vulnerabili, applicazione tempestiva delle patch su Exchange Server e monitoraggio continuo degli endpoint. L’adozione di soluzioni EDR e XDR, la condivisione di indicatori tramite community specializzate, e la messa in sicurezza della supply chain digitale hanno rappresentato passaggi cruciali nella riduzione dei rischi. Le analisi post-incidente hanno inoltre suggerito che il tool Apple-based di Firetech, utilizzato per la collezione di evidenze remote, rappresenta una delle minacce più sottili ed elusiva. Il payload viene iniettato tramite vulnerabilità nei sistemi macOS, aggirando i controlli di sicurezza standard e consumando risorse CPU in modo mirato per l’estrazione stealth dei dati. Le mitigazioni sviluppate successivamente si sono concentrate sull’analisi binaria e sul rafforzamento dei processi di validazione, anche con l’uso di sandbox dedicate.
Un modello di minaccia persistente
Silk Typhoon rappresenta un paradigma di minaccia cyber-statale persistente, capace di adattarsi, evolversi e infiltrarsi in settori strategici con strumenti tecnologicamente avanzati. La sua connessione strutturale con il MSS e la presenza di contractor di alto livello come Firetech dimostrano la crescente sofisticazione della strategia digitale cinese. Le implicazioni per la cybersecurity globale sono vaste: dalla necessità di visibilità avanzata nei sistemi IT alla cooperazione internazionale per il tracciamento dei gruppi APT. La trasparenza delle indagini condotte dal DOJ e la condivisione di dati tra attori pubblici e privati rafforzano una difesa collettiva, oggi più che mai necessaria in un contesto dove la tecnologia è al centro delle dinamiche geopolitiche e di potere.
