APT31 spiava la Russia cyber spionaggio cinese infiltrato nel tech russo per anni cina-russia

APT31 spiava la Russia: cyber spionaggio cinese infiltrato nel tech russo per anni

A cura di:Redazione Ore

La partnership “senza limiti” tra Pechino e Mosca ha invece un limite ben preciso: la fiducia reciproca. Un’indagine della società di sicurezza russa Positive Technologies rivela che il gruppo di spionaggio cinese APT31 ha operato indisturbato nelle reti di aziende IT russe principalmente nel periodo 2024-2025, con un primo accesso documentato risalente alla fine del 2022 in almeno un caso, sottraendo dati sensibili a contractor del governo di Mosca.

Un alleato che spia un alleato – APT31 cinese spiava la Russia

Nel panorama del cyber warfare globale, poche notizie riescono a sorprendere come questa: la Cina ha spiato la Russia. Silenziosamente. E Mosca, almeno pubblicamente, non ha detto nulla.

Il gruppo hacker collegato a Pechino noto come APT31 ha infiltrato il settore tecnologico russo, esfiltrando silenziosamente dati da aziende coinvolte in appalti governativi e nell’integrazione di sistemi. Lo rivela una ricerca pubblicata il 20 novembre 2025 dalla società di cybersicurezza russa Positive Technologies, a firma dei ricercatori Daniil Grigoryan e Varvara Koloskova del PT Expert Security Center.

Vale la pena precisare il contesto: Positive Technologies, pur essendo uno dei principali player della cybersecurity russa e una fonte tecnica autorevole, è stata sanzionata dagli Stati Uniti nel 2021 per aver fornito presunto supporto IT alle agenzie di intelligence civile e militare russe. Questo dato non inficia la validità tecnica del report, ampiamente riscontrata da fonti indipendenti come Kaspersky, SC Media e The Hacker News, ma è rilevante per una lettura editorialmente trasparente.

Quanto al perimetro temporale: la campagna sistematica di APT31 contro il settore IT russo si colloca principalmente nel periodo 2024-2025. Un singolo caso documenta un primo accesso risalente alla fine del 2022, con ripresa dell’attività durante le festività del Capodanno 2023. Si tratta di un episodio isolato all’interno di una campagna la cui intensità operativa è concentrata negli ultimi due anni.

La scelta del bersaglio non è casuale. Gli attaccanti si sono concentrati specificamente su aziende che sviluppano o integrano soluzioni per le agenzie governative russe, colpendo i punti di accesso chiave piuttosto che le agenzie stesse: un approccio da manuale per un attacco alla supply chain dell’IT governativo.

La tecnica: invisibili per anni

Ciò che rende questa campagna particolarmente rilevante dal punto di vista tecnico è il livello di sofisticazione operativa. Anziché appoggiarsi a server esterni sospetti, APT31 ha instradato il proprio traffico di command-and-control attraverso Yandex Cloud e Microsoft OneDrive, piattaforme popolari e considerate affidabili all’interno della Russia. Il gruppo ha inoltre inserito istruzioni cifrate in profili sui social media, sia domestici che esteri, e ha sincronizzato alcune operazioni nei fine settimana e durante le festività nazionali, quando la probabilità di rilevamento era significativamente più bassa.

In un caso, i ricercatori hanno accertato che gli attaccanti avevano mantenuto l’accesso ai sistemi di un’azienda IT russa dalla fine del 2022, riprendendo l’attività intensiva durante le festività del Capodanno 2023, quando l’infrastruttura aziendale era operativa ma il personale era ridotto al minimo. In un altro episodio, rilevato nel dicembre 2024, gli attori della minaccia hanno inviato una email di spear-phishing contenente un archivio RAR che includeva un file Windows Shortcut (LNK), responsabile del lancio di un loader Cobalt Strike denominato CloudyLoader tramite DLL side-loading. La tecnica era già stata documentata da Kaspersky nel luglio 2025, che aveva identificato sovrapposizioni con il cluster di minacce noto come EastWind.

L’arsenale tecnico impiegato è ampio e in continua evoluzione. Tra gli strumenti documentati: SharpADUserIP per la ricognizione della rete, SharpChrome.exe per il furto di cookie e credenziali del browser, SharpDir per la ricerca di file nei sistemi compromessi, Microsoft dev tunnels e la VPN Tailscale per il tunneling del traffico, il modulo IIS Owawa per il furto di credenziali, e le backdoor OneDriveDoor e CloudSorcerer, che sfruttano OneDrive e cloud come infrastruttura di controllo remoto. Molti di questi strumenti erano configurati in modalità server, attendendo passivamente che gli attaccanti si connettessero all’host compromesso, minimizzando ulteriormente l’esposizione del traffico.

Il risultato è stato sistematico: durante il periodo trascorso nelle reti delle vittime, il gruppo ha esfiltrato documenti, password, credenziali di caselle di posta e accessi a servizi interni. In molti casi, il furto è proseguito per mesi, in alcuni per oltre un anno, senza innescare alcun allarme. Sul tema degli APT che abusano di servizi cloud legittimi come vettore C2, ICT Security Magazine ha già documentato l’evoluzione di questa tecnica tra i principali gruppi statali attivi nel 2025.

Chi è APT31

APT31, noto anche come Altaire, Bronze Vinewood, Judgement Panda, PerplexedGoblin, RedBravo, Red Keres, Violet Typhoon (già Zirconium), TA412 e Hurricane Panda, è attivo almeno dal 2010 ed è pubblicamente associato all’Hubei State Security Department, dipartimento regionale del Ministero per la Sicurezza dello Stato (MSS) cinese. Quest’ultimo avrebbe istituito come copertura la società Wuhan Xiaoruizhi Science and Technology Company Ltd. (Wuhan XRZ), con sede a Wuhan.

Ha all’attivo operazioni contro un’ampia gamma di settori, tra cui governi, finanza, aerospazio e difesa, alta tecnologia, costruzioni e ingegneria, telecomunicazioni, media e assicurazioni.

Il gruppo è principalmente orientato a raccogliere intelligence che possa fornire a Pechino e alle imprese statali cinesi vantaggi politici, economici e militari. Per un quadro più ampio sui principali threat actor cinesi e le loro strutture operative, si rimanda all’analisi dedicata pubblicata su ICT Security Magazine.

Non si tratta di un attore sconosciuto o recente. Nel marzo 2024, il Dipartimento di Giustizia americano ha incriminato sette cittadini cinesi legati ad APT31 per una campagna globale di spionaggio informatico durata circa quattordici anni, mentre l’OFAC ha contestualmente sanzionato Wuhan XRZ e due individui chiave, Zhao Guangzong e Ni Gaobin.

In parallelo, il governo del Regno Unito ha adottato le medesime sanzioni, collegando APT31 a una campagna di ricognizione informatica contro parlamentari britannici critici nei confronti di Pechino. L’hack della UK Electoral Commission (2021-2022), che ha coinvolto i dati personali di circa 40 milioni di elettori britannici, è stato attribuito dalle autorità britanniche a “un’entità affiliata allo Stato cinese” in senso più ampio, senza un’attribuzione specifica ad APT31.

Il 28 maggio 2025, la Repubblica Ceca ha formulato un’accusa formale con alto grado di certezza, attraverso l’agenzia di cybersicurezza NÚKIB e tre agenzie di intelligence nazionali, attribuendo ad APT31 una campagna intrusiva contro il suo Ministero degli Affari Esteri avviata nel 2022 e finalizzata a compromettere una delle reti non classificate del ministero per diversi mesi. L’attribuzione ha ottenuto la solidarietà formale di NATO e Unione Europea.

Va segnalato inoltre che, nell’ottobre 2025, la società americana Symantec aveva attribuito un attacco separato contro provider russo al gruppo cinese Jewelbug, un cluster distinto da APT31. Si tratta di un ulteriore segnale che le operazioni cyber cinesi contro l’infrastruttura tecnologica russa non si esauriscono in un unico attore. Per approfondire il contesto dello spionaggio cinese contro la Russia, incluse le operazioni documentate fin dal 2022 nel quadro del conflitto in Ucraina, si rinvia all’analisi di ICT Security Magazine.

Il silenzio di Mosca e le implicazioni geopolitiche

La parte forse più rilevante di questa vicenda non è tecnica: è politica. I rapporti pubblici di operazioni cyber cinesi contro la Russia sono rari, dato che i due paesi sono ampiamente considerati partner strategici. Eppure Mosca non ha risposto pubblicamente.

Gli attori cinesi hanno ottenuto un accesso profondo al settore tecnologico russo adiacente alla difesa, ma Mosca appare riluttante a confrontarsi con Pechino apertamente. Questo silenzio dice più sulla natura della partnership sino-russa di qualsiasi comunicato ufficiale.

La lettura geopolitica offerta dall’European Policy Centre (gennaio 2026) è lucida: le rivelazioni su APT31 indicano che la Cina sta monitorando le capacità e i punti deboli della Russia in tempo reale. Lo spionaggio funziona non solo come raccolta di intelligence, ma come strumento di gestione dell’alleanza. Pechino vuole mantenere la Russia abbastanza forte da sfidare l’Occidente, ma non così forte da sfuggire alla propria orbita.

La cooperazione visibile non deve essere scambiata per fiducia strategica. Man mano che il coinvolgimento cinese cresce, con l’export di componenti dual-use critici per lo sforzo bellico russo e il rafforzamento dei legami industriali della difesa, cresce anche il suo incentivo a monitorare e proteggersi dalla debolezza russa.

Cosa significa per l’Europa

Per l’Europa la lezione è chiara: l’asse Cina-Russia non è né senza soluzione di continuità né permanente. È un allineamento pragmatico tra due potenze che perseguono obiettivi a lungo termine differenti.

In un contesto in cui il conflitto in Ucraina continua e le catene di fornitura tecnologiche rimangono sotto pressione, la notizia che Pechino infiltra il settore IT russo, compresi i contractor governativi, ridefinisce il perimetro di rischio per tutti gli attori del campo: alleati, avversari e neutrali. La frontiera del cyber warfare non segue le linee diplomatiche. E le alleanze, nel cyberspazio, valgono quanto l’ultima campagna di spear-phishing andata a buon fine.

 

Condividi sui Social Network:

Ultimi Articoli