Vault7 in salsa cinese: svelato il sistema segreto di sorveglianza mondiale della Cina

Cambia solo la bandiera, ma il risultato è sempre lo stesso. Nel 2017 WikiLeaks pubblicò Vault7, una fuga che mise a nudo l’arsenale della CIA: toolkit per penetrare smartphone, smart-TV e sistemi operativi, infrastrutture di comando e controllo e framework per offuscare il codice. Strumenti come Weeping Angel (che trasformava le TV in microfoni), HIVE (C2 per centinaia di impianti) e il Marble Framework (per mascherare e attribuire falsamente il malware) dimostrarono che l’intelligence offensiva era pratica corrente anche per le potenze occidentali.

Oggi, con la fuga di Knownsec, la sceneggiatura si ripete sotto un’altra bandiera: più che giudicare chi sia “peggiore”, resta la conferma che nella zona grigia del cyberspazio tutti agiscono per interesse e opportunismo. Vault7 fu la prova che le armi digitali esistono e vengono usate sistematicamente e ora tocca alla Cina il palcoscenico di quella medesima realtà.

La fuga dei dati di Knownsec

Gli hacker hanno reso pubblica la più grande fuga di dati nella storia della sicurezza informatica cinese, proveniente dagli archivi di Knownsec, un’azienda strettamente legata alle agenzie governative cinesi.

I materiali pubblicati, composti da oltre 12.000 documenti classificati, hanno rivelato dettagli sul programma di cyberintelligence del Paese, sugli strumenti di attacco interni e sulle liste di obiettivi globali che coprono oltre 20 Paesi. Questo evento ha scatenato una furiosa reazione nella comunità internazionale degli esperti, poiché segna la prima volta che i contorni interni dell’infrastruttura operativa di rete cinese vengono esposti su così vasta scala.

La fuga di dati è stata notata per la prima volta il 2 novembre 2025. I file sono apparsi su GitHub , dove sono stati successivamente rimossi dall’amministrazione della piattaforma per violazione dei termini di servizio. Tuttavia, delle copie si erano già diffuse nei forum di ricerca e negli archivi privati degli specialisti di sicurezza informatica. Secondo i materiali pubblicati, i file compromessi includevano report interni, il codice sorgente di programmi specializzati e fogli di calcolo che documentavano le interazioni dell’azienda con le agenzie governative cinesi. I documenti includono descrizioni di operazioni di rete condotte contro obiettivi stranieri, nonché credenziali interne e registri di fatturazione, a indicare che gli aggressori avevano accesso all’infrastruttura aziendale di Knownsec.

Dal monitoraggio del cloud alla zona grigia

L’azienda è stata fondata nel 2007 e ha ricevuto un importante investimento da Tencent nel 2015. Prima dell’incidente, impiegava oltre 900 persone, con uffici regionali operativi in tutto il paese. Knownsec è nota per essere un’azienda pioniera nel monitoraggio cloud e nei concetti di sicurezza distribuita in Cina. Tra i suoi clienti figurano istituzioni finanziarie, organizzazioni governative e importanti piattaforme online. Questa posizione all’interno dell’ecosistema cinese della sicurezza informatica rende l’incidente particolarmente significativo: ha avuto un impatto non solo su un singolo appaltatore, ma sull’intero modello di interazione degli appaltatori privati con i progetti di cyberintelligence governativi.

Il contenuto degli archivi trapelati indica che non si tratta di materiale commerciale, bensì di infrastrutture strategiche. La sezione più rilevante è un foglio di calcolo che elenca obiettivi globali, identificando risorse in Giappone, Vietnam, India, Indonesia, Nigeria, Regno Unito e altri paesi. Un foglio di calcolo elenca 80 obiettivi stranieri contro i quali, secondo gli autori dell’archivio, sono state condotte operazioni con successo. Tra gli esempi figurano 95 gigabyte di dati di migrazione rubati dall’India, 3 terabyte di tabulati telefonici dell’operatore di telefonia mobile sudcoreano LG U Plus e 459 gigabyte di documenti di viaggio ottenuti da Taiwan. Nel loro insieme, questi materiali dimostrano gli inestricabili legami di Knownsec con operazioni volte a raccogliere informazioni al di fuori della Cina.

Strumenti personalizzati per la sorveglianza

Oltre ai dati dell’obiettivo, l’archivio conteneva anche descrizioni degli strumenti tecnici utilizzati negli attacchi. L’azienda possedeva una suite di Trojan di Accesso Remoto ( RAT ) multifunzionali progettati per infiltrarsi nei sistemi Linux, Windows, macOS, iOS e Android. Di particolare rilievo era un componente mobile per Android in grado di estrarre la cronologia dei messaggi dalle app di messaggistica cinesi e da Telegram. Di particolare rilievo erano i riferimenti ai dispositivi hardware utilizzati nelle operazioni sul campo: ad esempio, un power bank modificato che carica segretamente i dati sul server degli aggressori quando è connesso al computer della vittima. Queste informazioni suggeriscono che Knownsec abbia partecipato non solo agli aspetti analitici, ma anche a quelli pratici delle operazioni offensive.

I dati trapelati confermano l’esistenza di un sistema di intelligence e-mail proprietario, Un-Mail, progettato per estrarre e analizzare la corrispondenza e-mail. I materiali allegati menzionano anche servizi di contabilità interna per i dipendenti, report sulle transazioni finanziarie e piani di collaborazione con diverse divisioni delle agenzie di sicurezza cinesi. Per i ricercatori, ciò ha confermato direttamente l’ipotesi che noti fornitori cinesi di sicurezza informatica possano svolgere contemporaneamente attività di cybersecurity statale.

La zona grigia: dove le associazioni sono sempre un dubbio

Un portavoce del Ministero degli Esteri cinese ha dichiarato a Mrxn di non essere a conoscenza di alcuna fuga di dati da Knownsec e ha sottolineato che la Cina si oppone a qualsiasi forma di attacco informatico. Questa formulazione è evasiva e lascia spazio a interpretazioni, in quanto non nega il possibile coinvolgimento di appaltatori privati in operazioni controllate dallo Stato. Nel contesto dell’attuale situazione internazionale, questa risposta è percepita come una dimostrazione della posizione della Cina: considera le operazioni informatiche non sono un crimine, ma uno strumento di sicurezza nazionale non soggetto a discussione pubblica.

Alla luce di questo incidente, gli analisti osservano che la fuga di notizie potrebbe rappresentare la più significativa rivelazione dell’architettura interna delle operazioni informatiche cinesi degli ultimi anni, superando in scala le pubblicazioni su strutture simili di gruppi APT. Specialisti internazionali stanno già studiando gli archivi per perfezionare i metodi di attacco e identificare componenti comuni con campagne note, comprese quelle che prendono di mira infrastrutture in Asia e in Europa. Se l’autenticità di tutti i file venisse confermata, l’incidente potrebbe cambiare la nostra comprensione di come viene costruito e gestito il sistema di cyberintelligence statale cinese.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.