Il National Cyber Security Centre (NCSC) e 15 partner internazionali hanno pubblicato un avviso congiunto. Avvertono che attori malevoli collegati alla Cina stanno nascondendo i loro attacchi dietro reti di comuni dispositivi internet compromessi.
L’avviso spiega in dettaglio un importante cambio di tattica. I gruppi affiliati a Pechino ora instradano le attività attraverso centinaia di migliaia di router domestici e dispositivi smart compromessi. Questo approccio sostituisce le infrastrutture dedicate utilizzate dai cybercriminali.
Botnet costruite da dispositivi domestici compromessi
Il documento identifica uno schema ricorrente nelle operazioni di Volt Typhoon e Flax Typhoon. In ogni caso, il traffico passa attraverso router di piccoli uffici e router domestici compromessi prima di raggiungere l’obiettivo finale.
Queste reti occulte permettono agli operatori collegati alla Cina di scansionare i bersagli, distribuire malware ed esfiltrare dati. Inoltre, oscurano l’origine di ogni attacco.
Raptor Train, una di queste reti, ha infettato più di 200.000 dispositivi in tutto il mondo nel 2024, secondo quanto riporta il NCSC. L’FBI ne ha attribuito la gestione a Integrity Technology Group, un’azienda di cybersecurity con sede a Pechino.
Il Regno Unito ha sanzionato l’azienda nel dicembre 2025 per attività cyber irresponsabili contro i suoi alleati.
Molte delle macchine compromesse sono webcam, videoregistratori, firewall e dispositivi di archiviazione di rete ormai fuori produzione. Questi non ricevono più aggiornamenti di sicurezza dai produttori, diventando così facili bersagli di attacchi su larga scala.
Infrastrutture occidentali già infettate
Volt Typhoon ha utilizzato una rete occulta diversa chiamata KV Botnet. Il gruppo ha ottenuto punti d’accesso su infrastrutture nazionali critiche negli Stati Uniti e nei Paesi alleati.
I documenti del Dipartimento di Giustizia citati nell’avviso supportano questa scoperta. Reti energetiche, sistemi di trasporto e reti governative sono citati come bersagli attivi.
Paul Chichester, Direttore delle Operazioni del NCSC, ha segnalato un problema separato noto come estinzione degli indicatori di compromissione. Gli identificatori utilizzati per tracciare gli attaccanti spariscono quasi immediatamente dopo essere stati pubblicati dai ricercatori.
Il problema riflette le difficoltà più ampie nel tracciare campagne di hacking sponsorizzate da stati sia sulle infrastrutture critiche sia nel settore finanziario.
Negli ultimi anni abbiamo visto un deliberato cambiamento nei gruppi cyber con base in Cina, che utilizzano queste reti per nascondere le attività malevole nel tentativo di evitare responsabilità,” Paul Chichester, Direttore delle Operazioni del NCSC.
L’avviso invita le organizzazioni ad analizzare il traffico di rete normale e adottare feed di minacce aggiornati. Raccomanda inoltre di monitorare le reti occulte collegate alla Cina come minacce persistenti avanzate a sé stanti.
Nel 2024 sono state registrate perdite per più di 2 miliardi di dollari in asset digitali a causa di attività cyber. I prossimi mesi metteranno alla prova la capacità dei difensori di tenere il passo. L’avversario ha reso l’attribuzione stessa la prima vittima.
