Una nuova campagna di cyberspionaggio allineata alla Cina sta prendendo di mira enti governativi, IT contractor della difesa e aziende di trasporti nel sud-est asiatico e in un Paese europeo della NATO. L’attività, identificata come SHADOW-EARTH-053, conferma quanto le infrastrutture pubbliche e i settori strategici restino tra gli obiettivi principali delle operazioni cyber legate alla raccolta di informazioni sensibili.
Secondo l’analisi dei ricercatori TrendAI, business unit di Trend Micro, la campagna sembra orientata soprattutto alla sottrazione di informazioni e al furto di proprietà intellettuale. Il profilo dell’operazione è coerente con attività di intelligence digitale: gli attaccanti non cercano solo accesso iniziale ai sistemi, ma puntano a mantenere una presenza, muoversi lateralmente e raggiungere dati di valore, in particolare contenuti e-mail e credenziali.
Cyberspionaggio cinese, il ruolo delle vecchie vulnerabilità Microsoft Exchange
Uno degli elementi più rilevanti della campagna SHADOW-EARTH-053 è l’uso di vulnerabilità già note, ma ancora sfruttabili in ambienti non aggiornati o esposti. I ricercatori hanno rilevato l’impiego di vecchie falle di Microsoft Exchange e IIS, tra cui ProxyLogon, per distribuire web shell e impianti SHADOWPAD.
ProxyLogon è una famiglia di vulnerabilità che negli ultimi anni ha avuto un impatto significativo sugli ambienti Microsoft Exchange esposti a Internet. Il fatto che continui a essere utilizzata in campagne di cyberspionaggio conferma un punto ormai ricorrente nella cybersecurity: molte operazioni avanzate non dipendono necessariamente da vulnerabilità zero-day, ma dalla persistenza di sistemi non corretti, mal configurati o ancora raggiungibili dall’esterno.
In questo caso, l’accesso iniziale viene usato come base per installare componenti malevoli, rubare credenziali, spostarsi all’interno della rete compromessa ed estrarre dati. La posta elettronica dei dirigenti rappresenta un obiettivo particolarmente sensibile, perché può contenere documenti, comunicazioni strategiche, informazioni su fornitori, partner, progetti e decisioni aziendali o istituzionali.
SHADOW-EARTH-053 e SHADOW-EARTH-054 indicano infrastrutture esposte sfruttate più volte
La campagna presenta anche una sovrapposizione con un altro insieme di intrusioni, identificato come SHADOW-EARTH-054. Quasi la metà degli obiettivi colpiti da SHADOW-EARTH-053 risulta essere stata interessata anche da SHADOW-EARTH-054, con strumenti condivisi e hash di file identici.
Questo dettaglio è importante perché suggerisce uno scenario diverso dalla singola compromissione isolata. La presenza di strumenti comuni e di file identici indica la possibilità di uno sfruttamento ripetuto della stessa infrastruttura esposta. In pratica, gli attaccanti potrebbero aver trovato ambienti vulnerabili e averli utilizzati più volte o da più cluster operativi, mantenendo aperta la finestra di rischio per un periodo prolungato.
Per le organizzazioni coinvolte, questo tipo di dinamica complica la risposta agli incidenti. Non basta rimuovere un singolo malware o chiudere una specifica sessione malevola: occorre verificare se l’infrastruttura sia stata sfruttata più volte, se siano presenti accessi persistenti, se le credenziali siano state sottratte e se altri sistemi interni siano stati raggiunti durante il movimento laterale.
Difesa, trasporti e pubblica amministrazione restano obiettivi ad alto valore
Gli obiettivi della campagna non sono casuali. Enti governativi, fornitori IT della difesa e aziende di trasporti gestiscono informazioni critiche e infrastrutture operative che possono avere valore strategico. In un’operazione di cyberspionaggio, il furto di dati può servire a ricostruire catene di fornitura, capacità operative, relazioni istituzionali, asset tecnologici o piani di sviluppo.
Nel caso degli IT contractor della difesa, il rischio è particolarmente elevato perché questi soggetti possono rappresentare un punto di accesso indiretto verso ecosistemi più ampi. Un fornitore compromesso può esporre informazioni tecniche, documentazione progettuale, credenziali o canali di relazione con enti pubblici e organizzazioni militari.
Anche il settore dei trasporti è rilevante. Le aziende che operano in questo comparto gestiscono dati logistici, informazioni su tratte, flussi, infrastrutture e sistemi di coordinamento. In contesti geopolitici complessi, queste informazioni possono essere utili non solo per finalità economiche, ma anche per attività di intelligence.
La lezione per le aziende: patch, esposizione e controllo delle credenziali
La campagna SHADOW-EARTH-053 conferma che la gestione dell’esposizione resta una priorità concreta. Le organizzazioni devono sapere quali sistemi sono esposti a Internet, quali versioni software sono in uso, quali vulnerabilità risultano ancora aperte e quali credenziali potrebbero essere state compromesse.
Il tema non riguarda solo la tempestività nell’installazione delle patch. Serve una capacità continua di rilevare asset dimenticati, server legacy, configurazioni non più coerenti con le policy di sicurezza e servizi che restano pubblicamente raggiungibili senza reale necessità operativa. In molti casi, proprio questi elementi diventano il punto d’ingresso per campagne di lungo periodo.
La protezione della posta elettronica aziendale e istituzionale assume inoltre un peso centrale. Gli attaccanti che riescono ad accedere alle e-mail dei dirigenti possono ottenere informazioni riservate e usare quei contenuti per pianificare ulteriori attività, campagne di phishing mirato o movimenti laterali più efficaci.
Il cyberspionaggio punta sempre più alla continuità operativa dell’attacco
La campagna attribuita a SHADOW-EARTH-053 mostra una caratteristica ormai ricorrente nelle operazioni di cyberspionaggio: l’obiettivo non è soltanto entrare, ma restare abbastanza a lungo da raccogliere informazioni utili. Web shell, impianti come SHADOWPAD, furto di credenziali e strumenti per il movimento laterale sono tutti componenti di una strategia orientata alla persistenza.
Per governi e imprese dei settori critici, questo significa che la sicurezza non può essere valutata solo in base alla capacità di bloccare un attacco in ingresso. Diventa necessario rilevare comportamenti anomali già all’interno dell’ambiente, correlare eventi su endpoint, rete, identità e cloud, e intervenire rapidamente quando emergono segnali di compromissione.
La vicenda conferma anche un altro aspetto: le vecchie vulnerabilità restano un problema attuale. Se una falla nota continua a essere sfruttabile anni dopo la sua scoperta, il rischio non dipende solo dalla sofisticazione degli attaccanti, ma anche dalla difficoltà delle organizzazioni nel mantenere sotto controllo infrastrutture complesse, distribuite e spesso stratificate nel tempo.
Per questo la difesa contro il cyberspionaggio richiede un approccio più ampio della semplice protezione perimetrale. Occorrono visibilità sugli asset, gestione rigorosa delle patch, monitoraggio delle identità, controllo degli accessi privilegiati, rilevamento delle attività anomale e capacità di risposta coordinata. In assenza di questi elementi, anche vulnerabilità già conosciute possono continuare a diventare strumenti efficaci nelle mani di gruppi orientati allo spionaggio digitale.
