Sommario
La Commissione USA ha denunciato campagne di spionaggio cyber attribuite a operatori legati alla Cina che mirano a stakeholder della politica commerciale americana. Il comunicato dell’8 settembre 2025 descrive impersonificazioni del presidente del Comitato, John Moolenaar, sfruttate per indurre destinatari fidati ad aprire file e link che concedono accesso ai sistemi durante negoziati ad alto livello tra Stati Uniti e Cina. La Commissione afferma che gli aggressori adottano servizi cloud legittimi e software per sviluppatori per mascherare il traffico ed esfiltrare dati sensibili, in linea con tattiche statali. Un precedente a gennaio 2025 colpì quattro membri dello staff impegnati nell’inchiesta su ZPMC, con un inganno di condivisione file che sottrasse credenziali Microsoft 365 senza ricorrere a malware. La Commissione ha informato FBI e U.S. Capitol Police, condividendo IOC con partner federali e organizzazioni coinvolte. Gli analisti segnalano un +35% di incidenti ricondotti a attori cinesi nel 2025, a conferma di una minaccia persistente per la diplomazia economica e la sicurezza nazionale. Le aziende reagiscono rafforzando protocolli di sicurezza, monitoraggio e zero trust, mentre la Commissione ribadisce la volontà di proseguire il proprio mandato di vigilanza.
Cronologia e contesto dell’allerta
Il Comitato Selezionato della Camera sulle attività della Cina Comunista ha pubblicato il comunicato da Washington l’8 settembre 2025, indicando attacchi multipli nelle settimane precedenti con impersonificazione di John Moolenaar. Le campagne puntano a rubare strategie negoziali e bozze di accordi, con fasi operative coincidenti con incontri USA-Cina su tariffe e catene di fornitura. La Commissione, dopo le prime analisi tecniche, ha riscontrato l’uso di cloud per offuscare le attività e trasferire i dati esfiltrati verso server controllati. La ricostruzione evidenzia tempistiche e metodi coerenti con spionaggio statale, motivo per cui il Comitato ha esteso la condivisione di indicatori e dettagli tecnici a partner federali e organizzazioni colpite.
Modus operandi: impersonificazione, cloud e furto credenziali
Gli attaccanti confezionano email che replicano l’identità e il tono istituzionale di Moolenaar, rivolgendosi a controparti fidate nel perimetro del commercio internazionale. I messaggi contengono allegati o link a portali di condivisione che imitano workflow legittimi. Il clic attiva pagine trappola o instrada verso flussi che portano all’accesso remoto dei sistemi, con autenticazioni raccolte in modo silente. La Commissione segnala abuso di servizi cloud per mascherare le comunicazioni e ridurre la soglia di allarme dei controlli. La mancanza di malware in alcune fasi consente di evadere i rilevamenti basati su firme, puntando su tecniche di social engineering e furto credenziali per sfruttare i permessi esistenti.
Il caso ZPMC e gli attacchi di gennaio 2025
Nel gennaio 2025 gli aggressori hanno preso di mira quattro membri dello staff del Comitato che indagavano su ZPMC, impresa statale cinese leader nelle attrezzature portuali. La campagna ha impiegato impersonificazione di un presunto rappresentante di ZPMC North America e un inganno di condivisione file per sottrarre credenziali Microsoft 365. L’accesso a email e documenti si è realizzato senza malware, sfruttando portali fittizi e flussi web che imitano procedure sicure. La tempistica dell’attacco, coincidente con l’inchiesta su ZPMC, rafforza l’ipotesi di un interesse strategico sugli asset informativi del Comitato, con possibili ricadute sulle politiche commerciali e sulla supply chain marittima.
Target e obiettivi strategici
La campagna colpisce agenzie governative USA, organizzazioni di categoria, studi legali di Washington e think tank impegnati su dossier Cina. Almeno un governo straniero rientra nel perimetro delle entità toccate, a testimonianza di un raggio d’azione che supera il perimetro federale. Le finalità includono accesso a strategie negoziali, piani tariffari, documenti interni e scambi riservati necessari a influenzare deliberazioni e negoziati. La Commissione rileva pattern geopolitici in cui il cyber amplifica la leva asimmetrica, offrendo vantaggi informativi senza confronto diretto.
Tecniche, TTP e indicatori condivisi
Le tecniche osservate includono spear-phishing evoluto, impersonificazione mirata, uso di HTTPS per offuscare i canali, trasferimenti in pacchetti ridotti per abbassare la rumorosità e strumenti per sviluppatori adoperati per creare percorsi nascosti. La Commissione segnala vulnerabilità software sfruttate, backdoor a bassa osservabilità e ricognizione passiva con scansioni preliminari per valutare le difese. Gli IOC condivisi includono indirizzi IP, domini e hash legati alle infrastrutture impiegate. Le credenziali Microsoft 365 risultano un bersaglio prioritario, motivo per cui la Commissione suggerisce monitoraggi aggiuntivi sull’intero stack cloud.
Attribuzione alla Cina e validazioni esterne
L’attribuzione al Partito Comunista Cinese deriva da targeting, tempistica e metodi coerenti con tradecraft statale. La Commissione integra analisi interne con validazioni esterne, citando esperti che confermano legami con la Cina. Gli IP e i domini riconducono a server in Cina continentale e a registrar asiatici che offuscano la provenienza. Il profilo operativo richiama gruppi APT noti nella sfera cinese, con campagne che persisterebbero da mesi e seguirebbero round negoziali delicati. La Cina nega di routine, ma per la Commissione gli elementi tecnici e la coerenza operativa sostengono la tesi statale.
Reazioni istituzionali e cooperazione pubblico-privato
La Commissione ha notificato FBI e U.S. Capitol Police, abilitando azioni investigative e difensive coordinate. Il Dipartimento di Giustizia valuta gli estremi per azioni legali e sanzioni verso entità coinvolte. Nel frattempo, agenzie federali e partner privati hanno ricevuto alert con IOC e raccomandazioni. La cooperazione con NSA per la signal intelligence mappa i canali e le infrastrutture degli attori. Il Congresso discute misure per rafforzare finanziamenti e standard, mentre vendor cloud e fornitori di sicurezza monitorano abusi, patchano vulnerabilità e potenziano i controlli utili a prevenire abusi di identità e condivisione.
Implicazioni per sicurezza nazionale, diplomazia e impresa
La campagna incide su sicurezza nazionale, diplomazia economica e competitività. Il furto di strategie e documenti indebolisce le posizioni negoziali USA, altera gli equilibri globali e espone le catene di fornitura a interferenze. Le perdite di dati e l’uso di intelligence rubata generano costi stimati in miliardi di euro annui e spingono verso reshoring e rafforzamento della supply chain. Gli alleati subiscono effetti spillover, con necessità di intel sharing più capillare e procedure armonizzate per la gestione degli incidenti.
Microsoft 365 e debolezze del perimetro cloud
Il perimetro M365 emerge come punto critico: la raccolta di credenziali via portali fittizi consente accessi silenti a email, documenti e condivisioni. In assenza di MFA e controlli contestuali, gli attori possono mantenere l’accesso e muoversi tra tenant e workspace con basso profilo. La Commissione spinge per monitoraggi avanzati, policy di accesso condizionale, telemetria potenziata e detection di pattern legati a esfiltrazioni frammentate su HTTPS che imitano traffico normale.
Formazione, consapevolezza e deterrenza
La risposta include training mirato su spear-phishing, simulazioni di incident response e table-top exercise per accorciare i tempi di reazione. La trasparenza su indicatori e metodi sostiene una deterrenza basata su attribuzione credibile e coordinamento con alleati. La Commissione insiste su report tempestivi, condivisione di telemetria azionabile e aggiornamenti continui ai protocolli interni.
Rafforzare le difese: identità, rete e applicazioni
Le organizzazioni rispondono con zero trust, MFA rafforzata sugli account privilegiati, segmentazione e microsegmentazione per limitare lo spostamento laterale. La telemetria XDR diventa centrale per correlare eventi tra endpoint, identità, rete e cloud, mentre policy di condivisione più restrittive riducono l’esposizione di dati. Le verifiche settimanali dei log, l’hardening di gateway e macro Office, e la validazione dei domini nelle catene di condivisione contrastano le impersonificazioni.
Conseguenze economiche e regolatorie
Gli impatti economici coinvolgono investitori, filiera e mercati. La sfiducia verso i canali digitali adottati nei negoziati genera costi indiretti e ritardi nei processi decisionali. Il Congresso valuta norme su disclosure degli incidenti, fondi per cyber difesa e standard più rigidi per il settore privato coinvolto nei dossier commerciali. La Commissione sostiene che una resilienza più alta costituisca leva strategica nei tavoli internazionali.
Scenario 2025 e prospettive
La Commissione osserva una crescita del 35% degli incidenti attribuiti a attori cinesi nel 2025, con persistenza su più mesi e attivazioni in prossimità di appuntamenti diplomatici. Le operazioni colpiscono agenzie, imprese, studi legali e think tank; la campagna mira a ricavare vantaggi in politica estera e commerciale. La risposta statunitense integra indagini federali, sanzioni mirate e cooperazione con alleati, allo scopo di ridurre la superficie d’attacco e incrementare la deterrenza.
Playbook minimo per il perimetro commerciale
Un playbook efficace contro lo spionaggio cyber descritto dalla Commissione USA combina identità forti, telemetria profonda e risposte coordinate. L’adozione di MFA pervasiva e policy di accesso condizionale ostacola l’abuso di credenziali. La correlazione XDR su segnali cloud, endpoint e rete intercetta pattern compatibili con impersonificazioni e esfiltrazioni a basso volume. La segmentazione isola domini sensibili e riduce il raggio d’azione di chi entra con account legittimi. Il monitoraggio dei domini di condivisione, la validazione dei link e la verifica delle identità dei mittenti abbassano il tasso di successo del phishing. Le verifiche periodiche su posture M365, log di audit, accessi anomali e download massivi su HTTPS chiudono il cerchio difensivo. La condivisione tempestiva degli IOC indicati dalla Commissione allinea il settore privato alle difese federali, mentre simulazioni e formazione mantengono alta la prontezza operativa. In questo quadro, la disciplina procedurale e la rapidità di reazione pesano quanto la tecnologia, perché gli attori sfruttano fiducia, routine e workflow per penetrare senza malware e restare invisibili finché non hanno estratto il valore informativo desiderato.
