Redazione RHC : 16 Settembre 2025 07:12
A cura di Luca Stivali e Olivia Terragni.
L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Firewall of China (GFW), rivelando senza filtri l’infrastruttura tecnologica che alimenta la censura e la sorveglianza digitale in Cina.
Sono stati messi online – tramite la piattaforma del gruppo Enlace Hacktivista – oltre 600 gigabyte di materiale interno: repository di codice, log operativi, documentazione tecnica e corrispondenza tra i team di sviluppo. Materiale che offre un rara finestra sul funzionamento interno del sistema di controllo della rete più sofisticato al mondo.
NIS2: diventa pronto alle nuove regole europeeLa Direttiva NIS2 cambia le regole della cybersecurity in Europa: nuovi obblighi, scadenze serrate e sanzioni pesanti per chi non si adegua. Essere pronti non è più un’opzione, è una necessità per ogni azienda e infrastruttura critica. Scopri come garantire la compliance e proteggere la tua organizzazione con l’Anteprima Gratuita del Corso NIS2, condotto dall’Avv. Andrea Capelli. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] 
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Ricercatori e giornalisti hanno lavorato su questi file per un anno, per analizzare e verificare le informazioni prima di pubblicarle: i metadati analizzati infatti riportano l’anno 2023. La ricostruzione accurata del leak è stata poi pubblicata nel 2025 e riguarda principalmente Geedge Networks, azienda che collabora da anni con le autorità cinesi (e che annovera tra i suoi advisor il “padre del GFW” Fang Binxing), e il MESA Lab (Massive Effective Stream Analysis) dell’Institute of Information Engineering, parte della Chinese Academy of Sciences. Si tratta di due tasselli chiave in quella filiera ibrida – accademica, statale e industriale – che ha trasformato la censura da progetto nazionale a prodotto tecnologico scalabile.
Se viene tolta la patina ideologica, ciò che emerge dal leak non è una semplice raccolta di regole, ma un prodotto completo: un sistema modulare integrato, progettato per essere operativo all’interno dei data center delle telco e replicabile all’estero.
Il cuore è il Tiangou Secure Gateway (TSG), che non è un semplice appliance, ma una piattaforma di ispezione e controllo del traffico di rete, che esegue la Deep Packet Inspection (DPI), classifica protocolli e applicazioni in tempo reale di codice di blocco e manipolazione del traffico. Non lo deduciamo per indizio: nel dump compaiono esplicitamente i documenti “TSG Solution Review Description-20230208.docx” e “TSG-问题.docx”, insieme all’archivio del server di packaging RPM (mirror/repo.tar, ~500 GB), segno di una filiera di build e rilascio industriale.
La componente TSG è progettata per operare sul perimetro di rete (o in punti di snodo degli ISP), gestendo grandi volumi di traffico. La prospettiva “prodotto” è confermata dalla documentazione e dal materiale marketing del vendor: TSG viene presentato come soluzione “full-featured” con deep packet inspection e content classification—esattamente da quanto emerge dai resoconti del leak.
La piattaforma non si limita a “non far passare”. Alcuni resoconti, riassunti nel dossier tecnico in lingua cinese, indicano esplicitamente l’iniezione di codice nelle sessioni HTTP, HTTPS, TLS e QUIC. VI è persino la capacità di lanciare DDoS mirati come estensione della linea di censura. Questo sancisce la convergenza tra censura e strumenti offensivi, con una cabina di regia unica.
Dalle sintesi dei documenti si ricostruiscono funzioni di monitoraggio in tempo reale, tracciamento della posizione(associazione a celle/identificatori di rete), storico degli accessi, profilazione e blackout selettivi per zona o per evento. Non si tratta di semplici slide: sono capacità citate in modo consistente, che emergono dalle analisi del contenuto del leak delle piattaforme Jira/Confluence/GitLab, utilizzate per l’assistenza, la documentazione e lo sviluppo del TGS.
Sopra al motore di rete c’è un livello “umano”: dashboard e strumenti di network intelligence, che forniscono visibilità agli operatori non-sviluppatori: questi strumenti permettono: ricerca, drill-down per utente/area/servizio, alert, reportistica e attivazione di regole. La stessa Geedge pubblicizza un prodotto di questo tipo come interfaccia unificata per visibilità e decisione operativa, coerente con quanto emerge nel leak sulla parte di controllo e orchestrazione.
Il fatto che metà terabyte del dump sia un mirror di pacchetti RPM dice molto: esiste una supply chain di build, versionamento e rollout confezionata per installazioni massive, sia a livello provinciale in Cina sia tramite semplici copie (copy-paste) all’estero.
Il leak conferma quello che diversi ricercatori sospettavano da tempo: la Cina non si limita a usare il Great Firewall (GFW) per il controllo interno, ma lo esporta attivamente ad altri regimi.Documenti e contratti interni mostrano implementazioni in Myanmar, Pakistan, Etiopia, Kazakhstan e almeno un altro cliente non identificato.
Nel caso del Myanmar, un report interno mostra il monitoraggio simultaneo di oltre 80 milioni di connessioni attraverso 26 data center collegati, con funzioni mirate al blocco di oltre 280 VPN e 54 applicazioni prioritarie, tra cui le app di messaggistica più utilizzate dagli attivisti locali.
In Pakistan, la piattaforma Geedge ha addirittura rimpiazzato il vendor occidentale Sandvine, riutilizzando lo stesso hardware ma sostituendo lo stack software con quello cinese, affiancato da componenti Niagara Networks per il tapping e Thales per le licenze. Questo è un caso emblematico di come Pechino riesca a penetrare mercati già saturi sfruttando la modularità delle proprie soluzioni.
Un altro aspetto cruciale emerso riguarda la convergenza tra censura e capacità offensive. Alcuni documenti descrivono funzioni di injection di codice su HTTP (e potenzialmente HTTPS quando è possibile man-in-the-middle con CA fidate) e la possibilità di lanciare attacchi DDoS mirati contro obiettivi specifici.
“Kazakhstan (K18/K24) → First foreign client. Used it for nationwide TLS MITM attacks”.
Questo sposta l’asticella oltre la semplice repressione informativa: significa disporre di uno strumento che può censurare, sorvegliare e attaccare, integrando in un’unica piattaforma funzioni che solitamente sono separate. Si tratta di un vero e proprio “censorship toolkit” che di fatto diventa un’arma cyber a disposizione di governi autoritari.
Il leak del Great Firewall cinese è stato pubblicato da Enlace Hacktivista, un gruppo hacktivista a maggioranza latino-americana – che collabora con DDoS Secrets – noto per aver già diffuso altre fughe di dati importanti come quelle di Cellebrite, MSAB, documenti militari, organizzazioni religiose, corruzione e dati sensibili, e decine di terabyte di aziende che lavorano nel settore minerario e petrolifero in America Latina, esponendo così corruzione e illecito ambientalismo, corruzione, oltre a dati sensibili.
Nel caso del Great Fierwall Leak i documenti sono stati caricati sulla loro piattaforma- https://enlacehacktivista.org – ospitata da un provider islandese, noto per la protezione della privacy e della libertà di parola.
La prima domanda che ci dovremmo porre è: perché un gruppo a maggioranza latina-americana dovrebbe compromettere la reputazione internazionale della Cina pubblicando informazioni sensibili e critiche, probabilmente provenienti da fonte interna collegata alla censura digitale cinese? Chi sarebbe il mandante? A chi giova tutto questo? Il leak è strategico e si è mosso contemporaneamente su più direzioni con un’azione mirata su più fonti con un impatto politico.
La risposta, nel contesto di un contrasto – internazionale – alla censura e alla sorveglianza digitale, sembrerebbe ovvia. Occorre però che considerare che oltre ad attivisti, oppositori politici, ONG e giornalisti che cercano di denunciare le violazioni di libertà e spingere per sanzioni contro le aziende che forniscono tecnologia di repressione, i governi occidentali cercano di limitare l’influenza cinese nel mercato delle tecnologie di sorveglianza e aumentando al contempo la pressione geopolitica su Pechino.
‘La Cina considera la gestione di Internet come una questione di sovranità nazionale: con misure volte a proteggere i cittadini da rischi come frodi, hate speech, terrorismo e contenuti che minano l’unità nazionale, in linea con i valori socialisti’. Tuttavia il Great Firewall cinese, non si limiterebbe a controllare l’Internet nel paese, ma il suo modello – insieme alla tecnologia – sarebbe già stato esportato fuori dal paese, “inspirando” regimi autoritari e governi in varie regioni, incluse Asia, Africa ed infine America Latina, dove la censura, la repressione digitale e il controllo dell’informazione sono sempre più diffusi:
Tutto questo però accade in un clima dove i governi di vari Paesi, dal Nepal al Giappone, passando per Indonesia, Bangladesh, Sri Lanka e Pakistan, stanno affrontando forti tensioni sociali, che hanno portato instabilità innescate da misure come restrizioni sui social network o proteste popolari. Caso emblematico è quello che è successo in Nepal in questi giorni e caso correlato quello del Giappone, dove il cambio di leadership si sta spostando verso un atteggiamento filo-USA.
Il leak del Great Firewall – simbolo del controllo statale e della sovranità tecnologica cinese – andrebbe oltre, investendo il cuore del contratto sociale tra il PCC e i cittadini cinesi – con implicazioni per la privacy e la sicurezza nazionale – minacciando così gli ambiziosi piani cinesi che mirano a far diventare il paese il centro globale dell’innovazione tecnologica. Huawei, Xiaomi, BYD e NIO, sono solo alcuni nome che guidano questo obiettivo strategico, che punta in effetti ad esportare tecnologie di punta in settori chiave come intelligenza artificiale, veicoli elettrici, energie rinnovabili, semiconduttori, 5G, aerospaziale e biotecnologie. Ebbene, non si tratta solo di libertà di parola, perchè il Firewall protegge il mercato digitale cinese dalla concorrenza esterna. Non solo, un leak esporrebbe le vulnerabilità tecnologiche del sistema, minando la sua reputazione o rendendolo vulnerabile. Ed in effetti il leak avrebbe fatto parte del lavoro, non solo desacralizzando l’invulnerabilità tecnologica cinese, ma minando la fiducia interna.
Dall’altra parte oggi 15 settembre, anche l’annuncio dell’indagine antitrust cinese su Nvidia – per presunte violazioni della legge antimonopolio in relazione all’acquisizione della società israeliana Mellanox Technologies – potrebbe rappresentare un danno al soft power americano nel settore tecnologico e dell’intelligenza artificiale.
Le reazioni ufficiali e mediatiche cinesi, confermano la situazione: le comunicazioni sono gestite con la massima cautela, con una forte censura sui social media e IA generative per limitare la diffusione delle informazioni con l’aiuto di specialisti OSINT e reti come “Spamouflage”. La risposta era probabile. Il passo successivo potrebbe essere un danno alle relazioni internazionali, potenziali sanzioni e un maggiore scrutinio sulle tech cinesi. Inoltre, alcune aziende telecom esaminate nel report, tra cui Frontiir in Myanmar, hanno negato l’uso di tecnologie di sorveglianza cinese o ne hanno minimizzato l’impiego, sostenendo di utilizzarla per scopi di sicurezza ordinari e legittimi, con supporto dei loro investitori internazionali.
Uno studio del 2024 e pubblicato da USENIX – Measuring the Great Firewall’s Multi-layered Web Filtering Apparatus – ha già esaminato come il Great Firewall cinese (GFW) rilevi e blocchi il traffico web crittografato. La ricerca è stata condotta da un gruppo internazionale di ricercatori universitari e indipendenti, tra cui i due autori principali, Nguyen Phong Hoang, Nick Feamster, a cui si aggiungono i ricercatori Mingshi Wu, Jackson Sippe, Danesh Sivakumar, Jack Burg.
L’obiettivo è stato comprendere i meccanismi tecnici con cui il GFW gestisce, ispeziona e filtra il traffico HTTPS, DNS e TLS, specialmente per aggirare le tecnologie di cifratura avanzate come Shadowsocks o VMess. Il Lavoro si è basato su misurazioni reali tramite server VPS in Cina e Stati Uniti e strumenti di monitoraggio, per studiare la censura e i blocchi operati in tempo reale dal GFW.
In breve le conclusioni hanno stabilito che i dispositivi di filtraggio DNS, HTTP e HTTPS insieme costituiscono i pilastri principali della censura web del Great Firewall (GFW): nel corso di 20 mesi, GFWeb ha testato oltre un miliardo di domini qualificati e ha rilevato rispettivamente 943.000 e 55.000 domini di livello pay-level censurati.
La ricerca pubblicata nel 2024 e i report sui documenti trapelati offrono una quantità senza precedenti di materiale interno, utile a capire nel dettaglio l’architettura, i processi di sviluppo e l’uso operativo giorno per giorno della tecnologia.
Il leak mette a nudo diversi punti chiave:
Per chi studia la sicurezza e le tecniche di elusione, questo leak rappresenta una miniera di informazioni. L’analisi dei sorgenti potrà rivelare vulnerabilità negli algoritmi di deep packet inspection (DPI) e nei moduli di fingerprinting, aprendo spiragli per sviluppare strumenti di bypass più efficaci. Ma è evidente che la sfida si fa sempre più asimmetrica: la controparte non è più improvvisata, bensì un’industria tecnologica con roadmap, patch e assistenza clienti.
Le implicazioni del Great Firewall Leak sono enormi, tanto sul piano tecnico quanto politico. Per la comunità CTI e per chi lavora sulla difesa dei diritti digitali, questa potrebbe essere un’occasione per comprendere meglio l’architettura della censura e della sorveglianza di nuova generazione per anticiparne le mosse. Ma soprattutto è la conferma che la battaglia per la libertà digitale non si gioca più solo sul terreno della tecnologia, bensì su quello – ancora più complesso – della geopolitica.
La censura digitale è al centro di rapporti di potere tra Stati e la lotta per l’accesso libero all’informazione è una questione globale e multilivello.
RedazioneA cura di Luca Stivali e Olivia Terragni. L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Fir...
Una violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...
Negli ultimi anni le truffe online hanno assunto forme sempre più sofisticate, sfruttando non solo tecniche di ingegneria sociale, ma anche la fiducia che milioni di persone ripongono in figure relig...
Microsoft ha ricordato agli utenti che tra un mese terminerà il supporto per l’amato Windows 10. Dal 14 ottobre 2025, il sistema non riceverà più aggiornamenti di sicurezza , correzioni di bug e ...
Negli ultimi mesi mi sono trovato più volte a redigere querele per video falsi che circolavano online. Non parliamo soltanto di contenuti rubati e diffusi senza consenso, ma anche di deepfake: filmat...
