LinkedIn nel mirino dello spionaggio cinese: l’allerta del MI5 al Parlamento

Nel mese di novembre il Servizio di Sicurezza britannico (MI5) ha inviato un avviso riservato a parlamentari e membri del loro staff per segnalare un’operazione di cyber-spionaggio riconducibile ad attori legati ai servizi segreti cinesi (MSS). Secondo l’intelligence, l’attività si basava su profili LinkedIn fittizi utilizzati come falsi headhunter per avviare contatti con figure coinvolte nella politica britannica e tentare il reclutamento di fonti interne.

L’allerta del MI5 si inserisce in un contesto più ampio di rafforzamento delle difese nazionali contro le minacce statali. In questo quadro, il governo del Regno Unito ha annunciato un investimento da 170 milioni di sterline (circa 230 milioni di dollari) destinato all’aggiornamento delle tecnologie di crittografia sovrana, con l’obiettivo di proteggere le comunicazioni istituzionali da attività di intercettazione e spionaggio straniero. Il finanziamento non è direttamente collegato ai singoli episodi su LinkedIn, ma rientra in una strategia di sicurezza nazionale più ampia.

L’episodio conferma tuttavia un trend consolidato: LinkedIn viene sempre più spesso sfruttato come strumento operativo o di supporto da parte di attori statali e criminali informatici. La piattaforma, oltre a facilitare il networking professionale, rappresenta una vasta fonte di informazioni pubbliche utilizzabili per attività di intelligence, frode o preparazione di attacchi mirati.

Perché LinkedIn è uno strumento appetibile

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Fondata nel 2003, LinkedIn ha raggiunto nel tempo oltre un miliardo di utenti a livello globale, diventando uno dei più grandi archivi pubblici di dati professionali.

Questo, riporta WeLiveSecurity (ESET), lo rende particolarmente utile per:

• Raccolta di informazioni (OSINT): profili, ruoli, responsabilità, cambi di posizione e relazioni professionali consentono di ricostruire organigrammi aziendali e dinamiche interne.
• Costruzione di credibilità: il contesto professionale riduce la diffidenza delle vittime rispetto a email o messaggi provenienti da canali non verificati.
• Aggiramento dei controlli aziendali: le comunicazioni avvengono sui server di LinkedIn e non transitano attraverso i gateway di posta elettronica aziendali, sfuggendo ai tradizionali sistemi di filtraggio IT.
• Scalabilità: la creazione di profili falsi o l’abuso di account compromessi permette campagne automatizzate a basso costo e alto rendimento.

Tecniche e tipologie di attacco

L’uso di LinkedIn varia in base alla natura dell’attore e agli obiettivi perseguiti:

• Cyber-spionaggio statale: come nel caso segnalato dal MI5, LinkedIn viene impiegato per individuare e avvicinare potenziali insider attraverso finte opportunità professionali o contatti di reclutamento.
• Phishing e spear phishing: messaggi altamente personalizzati basati su informazioni pubbliche dei profili.
• BEC (Business Email Compromise): raccolta preventiva di dati organizzativi per rendere più credibili le frodi finanziarie.
• Account hijacking: compromissione di profili per colpire la rete di contatti della vittima.
• Preparazione di attacchi indiretti: individuazione di fornitori e partner meno protetti come punto di ingresso.

Casi documentati

Diversi episodi mostrano come la piattaforma venga sfruttata con finalità diverse:

• Lazarus Group (Corea del Nord): il gruppo si è finto reclutatore su LinkedIn per distribuire malware a dipendenti di aziende aerospaziali, secondo le analisi di ESET Research.
• ScatteredSpider e MGM: LinkedIn è stato utilizzato come fonte OSINT per identificare i nomi dei dipendenti. L’attacco vero e proprio è avvenuto tramite una telefonata all’help desk, basata su social engineering, che ha portato a un’intrusione culminata in un attacco ransomware da circa 100 milioni di dollari di danni.
• Ducktail: campagna di matrice criminale con obiettivi finanziari, rivolta a professionisti del marketing e delle risorse umane, che distribuiva malware tramite link inviati nei messaggi diretti.

Consapevolezza e difesa

La principale criticità per le aziende è la scarsa visibilità delle interazioni che avvengono su LinkedIn, spesso al di fuori del perimetro di controllo IT. Per questo motivo, gli esperti raccomandano di includere scenari legati alla piattaforma nei programmi di formazione sulla sicurezza.

È inoltre fondamentale sensibilizzare i dipendenti sui rischi dell’eccessiva esposizione di informazioni professionali, sull’individuazione di profili falsi e sulle tecniche di social engineering. L’adozione dell’autenticazione a più fattori, l’aggiornamento regolare delle credenziali e una formazione specifica per i dirigenti restano misure chiave.

Anche in ambienti percepiti come affidabili, la fiducia non può sostituire la prudenza.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.