Nel 2023, Microsoft ha stilato una nuova tassonomia, ispirata alla terminologia meteorologica, per identificare gli attori di minaccia nel cyberspazio. All’interno di questa classificazione, sotto la categoria di nation-state actors, figura la famiglia “Typhoon”, la quale riunisce gruppi di hacker, noti come advanced persistent threat (APT), che conducono attacchi per conto delle agenzie di intelligence della Repubblica Popolare Cinese (RPC). Tra questi, Salt Typhoon si distingue per aver messo in atto quello che il senatore statunitense Mark Warner ha definito «il peggior attacco alle telecomunicazioni della storia della nostra nazione». Ma cos’è che ha determinato la vasta portata di questo telecom hack, contraddistinguendolo da qualsiasi altro attacco cyber precedente?
Il cuore della logica operativa della famiglia Typhoon è la persistenza, in quanto gli APT che la compongono prediligono un posizionamento silenzioso e prolungato negli ambienti target, rispetto alla distruzione immediata. Questo atteggiamento si riflette nelle sofisticate tattiche, tecniche e procedure (TTP) adoperate, tra cui la tecnica living-off-the-land (LotL), che consiste nell’utilizzare strumenti nativi della rete o del dispositivo compromesso, in modo da apparire invisibile ai sistemi di sicurezza.
Ciò che distingue gli attori con il suffisso “Typhoon” è l’obiettivo strategico: mentre Volt Typhoon è orientato al pre-posizionamento nelle reti IT delle infrastrutture critiche statunitensi per sabotare i sistemi OT in caso di conflitto cinetico, Salt Typhoon conduce campagne di cyberspionaggio, in cui si sedimenta nelle reti degli obiettivi, mimetizzandosi attraverso tecniche LotL e potendo, così, agire indisturbato per anni.
Il profilo di Salt Typhoon e i suoi target
Noto anche come Earth Estries, GhostEmperor o FamousSparrow, Salt Typhoon è uno state-sponsored APT, associato al Ministero per la sicurezza dello Stato (MSS) della RPC, la cui attribuzione è stata dettata dai pattern comportamentali che riconducono a esso. Operativo almeno dal 2019, è specializzato in campagne di cyberspionaggio di lunga durata contro fornitori di servizi di telecomunicazioni, agenzie governative e infrastrutture critiche di tutto il mondo. Il suo bersaglio primario sembrerebbe essere la capacità di counterintelligence degli Stati Uniti.
Nel settembre del 2024, i media hanno documentato la compromissione delle reti delle maggiori compagnie telecom statunitensi ad opera di hacker cinesi. Dalle indagini forensi della CISA e dell’FBI è emerso che l’attacco cyber di Salt Typhoon ha colpito oltre 80 paesi con più di 200 organizzazioni, tra cui nove telco statunitensi (AT&T, Consolidated Communications, Lumen, T-Mobile, Verizon, Windstream e altre). Neanche alcuni paesi europei sono rimasti immuni dalle sue operazioni di cyberspionaggio. Il 3 maggio 2026 è stata rilevata un’incursione illecita nei sistemi di Sistemi Informativi, società italiana del gruppo IBM, che gestisce l’infrastruttura IT della Pubblica Amministrazione. Secondo le ricostruzioni giornalistiche, l’attacco sarebbe riconducibile proprio a questo APT cinese, ipotesi che, però, IBM ha escluso.
Le sue campagne hanno inaugurato un cambio di paradigma, stravolgendo lo scenario dell’intelligence. Mentre il cyberspionaggio tradizionale punta a singoli dispositivi degli utenti, colpendo un endpoint alla volta, con Salt Typhoon il mirino si è spostato a monte, verso le infrastrutture di telecomunicazioni, attraverso cui transitano le comunicazioni di intere popolazioni. In questo modo, il gruppo APT è stato in grado di ottenere accesso simultaneo ai metadati delle comunicazioni, ai wiretap system e alle configurazioni di routing della rete.
Nel primo caso, i tabulati telefonici forniscono una panoramica sulle relazioni tra mittenti e destinatari e la frequenza di contatto. L’intrusione nella rete telecom ha anche reso possibile l’intercettazione di telefonate private di membri della classe dirigente. Inoltre, la connessione automatica degli smartphone alla torre cellulare più vicina, generando continuamente dati di localizzazione, ha permesso di tracciare gli spostamenti fisici delle vittime.
Il secondo caso riguarda il punto più critico. I sistemi di intercettazione legale, di cui sono obbligatoriamente dotate le reti di tutti gli operatori telecom statunitensi ai sensi della legge CALEA del 1994, sono portali che consentono alle forze dell’ordine di intercettare in tempo reale le comunicazioni di utenti specifici, previo mandato giudiziario. In materia di acquisizione di intelligence straniera, la sezione 702 del Foreign Intelligence Surveillance Act (FISA) disciplina l’intercettazione delle comunicazioni di soggetti stranieri, situati al di fuori dei confini statunitensi, in possesso di informazioni relative a terrorismo, governi stranieri, proliferazione di armi di distruzione di massa e narcotraffico internazionale. Una volta ottenuta l’autorizzazione, il governo identifica i selectors (come numero di telefono o indirizzi e-mail) associati ai target e li trasmette agli operatori telecom, i quali sono tenuti a consegnare al governo le comunicazioni corrispondenti, senza poter notificare gli utenti. Tuttavia, i portali aperti dalla legge CALEA espongono i flussi di dati di sorveglianza sensibili alle esfiltrazioni, in quanto, come l’Electronic Frontier Foundation fa notare, non è possibile costruire una backdoor che lasci entrare solo coloro che hanno buone intenzioni. «Hanno trasformato i nostri sistemi di telecomunicazione nel loro sistema di spionaggio», ha affermato l’ex Vice consigliera per la sicurezza nazionale degli USA, Anne Neuberger, commentando l’attacco di Salt Typhoon. Dunque, quando attori di minaccia stranieri irrompono in questi sistemi, su cui si poggiano le capacità di sorveglianza domestica, questi ultimi finiscono per ritorcersi contro la nazione stessa che ne ha imposto la dotazione.
Infine, nel terzo caso, le configurazioni di routing offrono la mappa topologica dell’intera infrastruttura di rete. Pertanto, chi ne prende il controllo può ispezionare il contenuto dei pacchetti di dati in transito, oppure dirottare il traffico di dati verso i sistemi avversari, prima che giungano al destinatario.
Mappatura delle TTP di Salt Typhoon attraverso il framework MITRE ATT&CK
Salt Typhoon entra nelle reti sfruttando n-day vulnerabilities – ossia falle la cui patch disponibile non è stata ancora applicata – in applicazioni rivolte al pubblico (T1190), come firewall, VPN e server Exchange. Nel caso dei dispositivi Cisco (router e switch), i vettori di accesso iniziale sono stati l’utilizzo di credenziali valide rubate (T1078.003) e lo sfruttamento di CVE-2018-0171, una vulnerabilità nota ma non corretta nella funzione Smart Install dei software Cisco IOS e Cisco IOS XE.
Una volta ottenute le credenziali di accesso, Salt Typhoon si è mosso lateralmente, esfiltrando file di configurazione dei router (T1602.002) tramite un protocollo di rete non cifrato (T1048.003), in modo che il furto di dati si mimetizzasse nel traffico ordinario. Così facendo, Salt Typhoon è entrato in possesso delle mappe topologiche di rete (T1590.004) e password facilmente decifrabili (T1110.002). Oltre allo spostamento da un dispositivo a un altro, Salt Typhoon ha impiegato la strategia machine to machine pivoting per muoversi da una telco all’altra, in cui il primo dispositivo compromesso di un operatore funge da hop point per penetrare nelle reti di altre telco adiacenti.
Salt Typhoon è stato in grado di mantenere l’accesso nell’ambiente attaccato per più di due anni, senza destare alcun sospetto. Tramite LotL, ha eseguito operazioni malevole, attingendo a funzionalità native del dispositivo di rete. È stato fatto, ad esempio, un uso improprio dell’interfaccia shell unix (T1059.004): digitando comandi shell, il gruppo APT ha modificato il file delle chiavi SSH autorizzate, aggiungendo le proprie (T1098.004). Questa tecnica conferisce una parvenza di legittimità all’attaccante, che si assicura un accesso permanente, senza dover immettere alcuna password nel momento del login. Per eliminare qualsiasi traccia forense delle proprie attività, gli attori malevoli hanno sistematicamente cancellato i log di sistema (T1685.006).
Tuttavia, Salt Typhoon non si è limitato all’applicazione di tecniche LotL, ma ha anche progettato un proprio arsenale di custom malware (T1587.001) per potenziare il grado di persistenza. Tra i principali, GhostSpider crea una backdoor, che consente di mantenere l’accesso ai dispositivi compromessi, mentre il malware JumbledPath cattura i pacchetti di dati in transito nel flusso di rete (T1040), intercettando credenziali di autenticazione, e li invia a server cinesi attraverso una catena di hop intermedi, che rende irrintracciabile la destinazione finale.
La risposta di Washington
A seguito della scoperta di Salt Typhoon nell’autunno del 2024, la Casa Bianca si è impegnata nell’elaborazione di una risposta, finalizzata al contrasto degli attacchi informatici e al rafforzamento del livello di resilienza delle infrastrutture nazionali. La CISA e l’FBI hanno pubblicato advisory congiunti, raccomandando l’utilizzo di comunicazioni cifrate, per scongiurare ulteriori infiltrazioni. Tuttavia, Neuberger avverte che la crittografia non garantisce la sicurezza assoluta dei dati, poiché, in futuro, computer quantistici sufficientemente potenti potrebbero essere in grado di romperla. Questa previsione, aggravata dalla strategia del raccogli ora, decifra dopo in attesa del Q-day, mette a rischio tutte quelle informazioni che mantengono la loro rilevanza nel tempo.
A gennaio 2025, il Dipartimento del Tesoro degli USA ha sanzionato la Sichuan Juxinhe Network Technology Co., un’azienda cinese di cybersecurity, per il suo coinvolgimento diretto nelle operazioni di Salt Typhoon. Al fine di occultare il proprio coinvolgimento, l’MSS commissiona l’esecuzione di operazioni cibernetiche a contractor, in modo da non macchiare la reputazione internazionale della Cina.
Tali sforzi iniziali sono stati interrotti con l’avvento dell’amministrazione Trump. In particolare, l’emanazione di una serie di ordini esecutivi ha ostacolato il lavoro di alcune delle agenzie federali dedite a questa causa, introducendo considerevoli tagli di personale e di budget, fino a sopprimere il Cyber Safety Review Board, che aveva avviato un’indagine formale sull’attacco di Salt Typhoon.
La situazione attuale è descritta dal Vice direttore per la cyber intelligence dell’FBI, Michael Machtinger, che, durante il CyberTalks tenutosi il 19 febbraio 2026, ha presentato Salt Typhoon come una minaccia persistente, non ancora debellata dal settore pubblico e privato americano. Il mese successivo, la Federal Communications Commission (FCC) ha imposto un divieto all’importazione di router SOHO di produzione estera, richiamandosi proprio alle campagne di Volt Typhoon, Flax Typhoon e Salt Typhoon. La FCC giustifica il divieto facendo leva sul pericolo che router SOHO fabbricati all’estero possano essere provvisti di backdoor, che consentirebbero l’accesso remoto non autorizzato. Tuttavia, il caso di Salt Typhoon rivela che la superficie di attacco trascende l’origine di produzione del dispositivo, in quanto lo sfruttamento di vulnerabilità note ma non corrette e account locali con password deboli sono stati i fattori determinanti nel successo degli attacchi informatici ai dispositivi Cisco.
Salt Typhoon ha messo a nudo le vulnerabilità dell’intero ecosistema di sorveglianza statunitense, rivelandone il tallone d’Achille: i sistemi CALEA. Concepiti come canali di cooperazione tra governo federale e operatori telecom nelle attività di counterintelligence, si sono rivelati la porta d’ingresso privilegiata per gli attori malevoli, che intendono condurre campagne di spionaggio. Se il furto di dati riconducibili alle identità di agenti cinesi sotto sorveglianza statunitense ha rischiato di vanificare le attività di controspionaggio dell’intelligence nazionale, il potenziale tracciamento di dissidenti cinesi in contatto con target statunitensi costituisce un’estensione de facto dell’apparato di sorveglianza domestica oltre la giurisdizione cinese.
