L’invasione su vasta scala dell’Ucraina da parte della Russia ha radicalmente trasformato le priorità di intelligence e cyber spionaggio per Cina e la Russia, mettendo in luce una realtà complessa e contraddittoria nelle relazioni fra i due Paesi.

Nonostante la retorica pubblica di una “partnership senza limiti”, l’attività di cyber spionaggio cinese contro la Russia si è intensificata notevolmente, svelando una profonda sfiducia interna e l’opportunismo strategico di Pechino.

Cyber spionaggio in crescita, Cina contro Russia: le prove

Come evidenziato da Itay Cohen, ricercatore senior presso Palo Alto Networks, la Cina sta attivamente sfruttando la situazione per i propri interessi strategici, in particolare attraverso la raccolta di intelligence militare.

L’obiettivo primario di Pechino è quello di apprendere dall’esperienza russa sul campo di battaglia, affinando le proprie capacità militari in vista di futuri conflitti, con particolare attenzione a una potenziale escalation attorno a Taiwan.

Le prove concrete di questa strategia si manifestano attraverso l’intensificarsi delle attività di cyber-spionaggio cinese contro il governo e i settori della difesa russi.

Un gruppo finanziato dal governo cinese, per esempio, ha preso di mira Rostec, il colosso statale russo della difesa, cercando informazioni cruciali su sistemi di comunicazione satellitare, radar e tecnologie di guerra elettronica.

Altri attacchi hanno impiegato malware sofisticati, spesso sfruttando vulnerabilità in software ampiamente diffusi come Microsoft Word, per penetrare reti di obiettivi nell’industria aeronautica russa e in enti governativi.

La Cina come cyber nemico russo: lo rivela l’Fsb

Un documento classificato dell’FSB russo, ottenuto dal New York Times, getta nuova luce su questa dinamica. Questo documento di pianificazione di otto pagine, redatto tra la fine del 2023 e l’inizio del 2024, descrive in dettaglio le intense attività di spionaggio della Cina contro la Russia, definendo esplicitamente Pechino un “nemico“.

La sua autenticità è stata confermata da funzionari dell’intelligence di sei paesi occidentali.

Secondo il documento, una unità dell’FSB ha accusato gli hacker e gli agenti cinesi di intensificare gli sforzi per:

• acquisire intelligence militare: la Cina è particolarmente interessata alle tattiche di guerra con i droni, ai metodi di modernizzazione e alle contromisure contro le armi occidentali utilizzate nel conflitto ucraino;
• reclutare personale chiave: agenti cinesi stanno attivamente cercando di reclutare scienziati russi, funzionari della difesa e uomini d’affari, spesso capitalizzando su difficoltà finanziarie o professionali;
• infiltrarsi negli ecosistemi informativi russi: l’Fsb ha ordinato una “costante accumulazione di informazioni sugli utenti” delle piattaforme cinesi, avvertendo che l’utilizzo di questi strumenti avviene per la penetrazione informativa;
• ottenere tecnologie di difesa sensibili: aziende di difesa statali e istituzioni accademiche cinesi sono presenti in Russia, sin dall’inizio dell’invasione dell’Ucraina, con l’obiettivo di studiare il conflitto e acquisire conoscenze rilevanti per la guerra moderna.

In risposta a queste preoccupazioni, l’Fsb ha lanciato un’operazione di controspionaggio, denominata Entente-4, pochi giorni prima dell’invasione russa dell’Ucraina nel febbraio 2022.

Dietro gli attacchi, Mustang Panda, Slime19 ed altri gruppi

Diversi gruppi di hacker cinesi sono stati monitorati mentre prendevano di mira la Russia. Tra i più attivi vi è Mustang Panda, un gruppo le cui attività hanno spesso accompagnato l’iniziativa cinese Belt and Road Initiative (Bri).

Dopo l’invasione russa dell’Ucraina, Mustang Panda ha ampliato il suo raggio d’azione per colpire organizzazioni governative sia in Russia che nell’Unione europea, prendendo di mira anche ufficiali militari russi e unità della guardia di frontiera vicino al confine siberiano con la Cina.

Gli esperti sospettano che il gruppo sia sostenuto dal ministero della Sicurezza di Stato cinese. Mustang Panda è noto per l’uso di malware come Deed RAT, considerato proprietario e non disponibile sul dark web, rendendo difficile la difesa per gli avversari.

Slime19, APT31 e APT27

Un altro gruppo monitorato è Slime19, che prende di mira costantemente il governo russo, oltre ai settori energetico e della difesa.

Più di recente, nel 2024, la campagna “EastWind” di Kaspersky ha documentato attacchi mirati ad organizzazioni governative russe e aziende IT, attribuiti ai noti gruppi hacker cinesi APT31 e APT27, che hanno utilizzato varianti aggiornate di backdoor come CloudSorcerer e nuove backdoor come PlugY.

Attacchi precedenti e crescente escalation

L’attività di hacking cinese in Russia non è iniziata con la guerra in Ucraina. Già nel 2021, un attacco sofisticato aveva preso di mira il Rubin Central Design Bureau for Marine Engineering, un’azienda russa coinvolta nello sviluppo di tecnologia per sottomarini nucleari.

Questo attacco ha utilizzato una campagna di spear-phishing e il malware PortDoor, con strumenti associati a gruppi hacker legati alla Cina come Tick e Tonto Team.

Tuttavia gli esperti concordano sul fatto che l’invasione dell’Ucraina ha provocato un’impennata significativa nelle intrusioni informatiche. Come affermato da Itay Cohen, “l’attività (…) l’abbiamo vista immediatamente nei mesi successivi all’invasione russa dell’Ucraina”, nonostante la narrazione pubblica di stretti legami tra i due Paesi.

Contraddizioni e implicazioni

Questi attacchi non solo contraddicono le dichiarazioni pubbliche di una “partnership illimitata” tra Cina e Russia, ma confermano la natura intrinsecamente opportunistica della politica estera cinese.

Sebbene i due Paesi siano uniti dalla volontà di sfidare l’ordine globale dominato dall’Occidente, i loro interessi nazionali rimangono distinti e, in questo caso, in conflitto.

La divulgazione del documento dell’Fsb evidenzia le profonde contraddizioni interne tra la leadership politica russa e il suo apparato di sicurezza. L’attività di cyber spionaggio della Cina, che mira a imparare dalle esperienze di combattimento della Russia in Ucraina per rafforzare le proprie capacità, dimostra che Pechino è disposta a compromettere la sicurezza informatica del suo alleato pur di raggiungere i propri obiettivi strategici.

L’escalation di queste intrusioni mostra che la guerra ha fornito alla Cina un’opportunità unica per raccogliere intelligence militare in un contesto di conflitto reale, sfruttando le vulnerabilità e le distrazioni di Mosca.

La persistenza di questi attacchi conferma che la Cina vede la Russia non solo come un partner, ma anche come una fonte preziosa di informazioni. E, in un certo senso, come un laboratorio vivente per l’analisi delle moderne tattiche di guerra.

Questo approccio sottolinea che, nel grande gioco della geopolitica, la fiducia tra alleati può essere facilmente superata dalla sete di conoscenza e dal calcolo strategico.