LinkedIn nel mirino dello spionaggio cinese: l’allerta del MI5 al Parlamento

Nel mese di novembre il Servizio di Sicurezza britannico (MI5) ha inviato un avviso riservato a parlamentari e membri del loro staff per segnalare un’operazione di cyber-spionaggio riconducibile ad attori legati ai servizi segreti cinesi (MSS). Secondo l’intelligence, l’attività si basava su profili LinkedIn fittizi utilizzati come falsi headhunter per avviare contatti con figure coinvolte nella politica britannica e tentare il reclutamento di fonti interne.

L’allerta del MI5 si inserisce in un contesto più ampio di rafforzamento delle difese nazionali contro le minacce statali. In questo quadro, il governo del Regno Unito ha annunciato un investimento da 170 milioni di sterline (circa 230 milioni di dollari) destinato all’aggiornamento delle tecnologie di crittografia sovrana, con l’obiettivo di proteggere le comunicazioni istituzionali da attività di intercettazione e spionaggio straniero. Il finanziamento non è direttamente collegato ai singoli episodi su LinkedIn, ma rientra in una strategia di sicurezza nazionale più ampia.

L’episodio conferma tuttavia un trend consolidato: LinkedIn viene sempre più spesso sfruttato come strumento operativo o di supporto da parte di attori statali e criminali informatici. La piattaforma, oltre a facilitare il networking professionale, rappresenta una vasta fonte di informazioni pubbliche utilizzabili per attività di intelligence, frode o preparazione di attacchi mirati.

Perché LinkedIn è uno strumento appetibile

Fondata nel 2003, LinkedIn ha raggiunto nel tempo oltre un miliardo di utenti a livello globale, diventando uno dei più grandi archivi pubblici di dati professionali.

Questo, riporta WeLiveSecurity (ESET), lo rende particolarmente utile per:

• Raccolta di informazioni (OSINT): profili, ruoli, responsabilità, cambi di posizione e relazioni professionali consentono di ricostruire organigrammi aziendali e dinamiche interne.
• Costruzione di credibilità: il contesto professionale riduce la diffidenza delle vittime rispetto a email o messaggi provenienti da canali non verificati.
• Aggiramento dei controlli aziendali: le comunicazioni avvengono sui server di LinkedIn e non transitano attraverso i gateway di posta elettronica aziendali, sfuggendo ai tradizionali sistemi di filtraggio IT.
• Scalabilità: la creazione di profili falsi o l’abuso di account compromessi permette campagne automatizzate a basso costo e alto rendimento.

Tecniche e tipologie di attacco

L’uso di LinkedIn varia in base alla natura dell’attore e agli obiettivi perseguiti:

• Cyber-spionaggio statale: come nel caso segnalato dal MI5, LinkedIn viene impiegato per individuare e avvicinare potenziali insider attraverso finte opportunità professionali o contatti di reclutamento.
• Phishing e spear phishing: messaggi altamente personalizzati basati su informazioni pubbliche dei profili.
• BEC (Business Email Compromise): raccolta preventiva di dati organizzativi per rendere più credibili le frodi finanziarie.
• Account hijacking: compromissione di profili per colpire la rete di contatti della vittima.
• Preparazione di attacchi indiretti: individuazione di fornitori e partner meno protetti come punto di ingresso.

Casi documentati

Diversi episodi mostrano come la piattaforma venga sfruttata con finalità diverse:

• Lazarus Group (Corea del Nord): il gruppo si è finto reclutatore su LinkedIn per distribuire malware a dipendenti di aziende aerospaziali, secondo le analisi di ESET Research.
• ScatteredSpider e MGM: LinkedIn è stato utilizzato come fonte OSINT per identificare i nomi dei dipendenti. L’attacco vero e proprio è avvenuto tramite una telefonata all’help desk, basata su social engineering, che ha portato a un’intrusione culminata in un attacco ransomware da circa 100 milioni di dollari di danni.
• Ducktail: campagna di matrice criminale con obiettivi finanziari, rivolta a professionisti del marketing e delle risorse umane, che distribuiva malware tramite link inviati nei messaggi diretti.

Consapevolezza e difesa

La principale criticità per le aziende è la scarsa visibilità delle interazioni che avvengono su LinkedIn, spesso al di fuori del perimetro di controllo IT. Per questo motivo, gli esperti raccomandano di includere scenari legati alla piattaforma nei programmi di formazione sulla sicurezza.

È inoltre fondamentale sensibilizzare i dipendenti sui rischi dell’eccessiva esposizione di informazioni professionali, sull’individuazione di profili falsi e sulle tecniche di social engineering. L’adozione dell’autenticazione a più fattori, l’aggiornamento regolare delle credenziali e una formazione specifica per i dirigenti restano misure chiave.

Anche in ambienti percepiti come affidabili, la fiducia non può sostituire la prudenza.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.