09/02/2026
Cyber-spionaggio globale: 37 governi nel mirino (c'è anche l'Italia)
Una campagna di cyber-spionaggio attribuita a un gruppo filo-statale asiatico ha preso di mira governi e infrastrutture critiche in 37 paesi, con 70 organizzazioni compromesse secondo Palo Alto Networks
di Andrea Bai pubblicata il 09 Febbraio 2026, alle 09:21
Un gruppo di cyber-spionaggio allineato a uno stato asiatico ha condotto nell'ultimo anno una vasta campagna di intrusione ai danni di governi e infrastrutture critiche in oltre 37 paesi, compromettendo almeno 70 organizzazioni, tra cui ministeri delle finanze, parlamenti e agenzie di sicurezza. L'operazione è stata documentata in dettaglio da Palo Alto Networks, tramite la divisione di threat intelligence Unit 42, che descrive un'attività strutturata e coordinata con eventi geopolitici e interessi economici strategici.
Un gruppo filo-statale asiatico e una campagna senza precedenti
Secondo Palo Alto Networks, la campagna è riconducibile a un gruppo di attacco indicato come TGR-STA-1030, descritto come allineato a un governo asiatico, anche se la società non attribuisce pubblicamente le attività a uno specifico stato. I ricercatori parlano di una delle più estese operazioni di cyber-spionaggio attribuite a un singolo collettivo legato a uno stato dalla vicenda SolarWinds del 2020, con un perimetro che abbraccia 37 paesi e almeno 70 vittime confermate.
Tra gli obiettivi figurano cinque agenzie nazionali di forze dell'ordine e controllo delle frontiere, tre ministeri delle finanze, un parlamento nazionale e l'entourage di un alto esponente politico in un altro paese, oltre a vari organismi governativi impegnati in diplomazia, commercio e gestione delle risorse naturali. Gli investigatori sottolineano come l'operazione sia stata condotta con estrema discrezione, con presenze persistenti nelle reti compromesse per mesi senza essere rilevate.
Target: governi, infrastrutture critiche ed economia delle risorse
Le intrusioni hanno interessato sistemi governativi e infrastrutture critiche distribuiti su più aree del mondo, inclusi paesi dell'America Latina, dell'Europa e dell'Asia. Tra gli esempi citati nel report compaiono il Ministero delle Miniere e dell'Energia del Brasile, il parlamento e componenti delle forze armate della Repubblica Ceca, un funzionario del governo indonesiano e un fornitore taiwanese di apparecchiature per il settore energetico.
La scelta dei bersagli suggerisce un interesse particolare per l'intelligence economica legata a miniere, terre rare, politiche commerciali e relazioni diplomatiche, con correlazioni temporali tra alcune attività degli hacker e passaggi chiave in trattative o tensioni politiche. In diversi casi la raccolta di informazioni ha riguardato comunicazioni su operazioni militari e di polizia, trattative di finanziamento internazionale e dossier sensibili su questioni diplomatiche, con accesso prolungato a caselle di posta elettronica e server interni.
Se si restringe lo sguardo al contesto europeo, a luglio 2025 TGR-STA-1030 ha rivolto l'attenzione alla Germania, stabilendo connessioni verso oltre 490 indirizzi IP associati a infrastrutture governative.
Ad agosto 2025, in concomitanza con l'incontro privato tra il presidente ceco Petr Pavel e il Dalai Lama durante una visita in India, è stata riscontrata un'intensificazione delle attività di scansione contro le infrastrutture governative della Repubblica Ceca. I sistemi presi di mira includevano quelli di esercito, polizia, parlamento, ministeri dell’Interno, delle Finanze e degli Affari Esteri.
All’inizio di novembre, una fonte di informazione tibetana ha riportato che il presidente ceco avrebbe co-patrocinato il gala per il 90° compleanno del Dalai Lama. Poco dopo questo annuncio, è stata rilevata una seconda ondata di scansioni, focalizzata in modo specifico sul sito web della presidenza ceca.
Parallelamente, alla fine di agosto, il gruppo ha esteso le proprie attività di ricognizione alle infrastrutture dell’Unione Europea, tentando di connettersi a oltre 600 indirizzi IP associati a domini .europa[.]eu.
Oltre alle operazioni di scansione, Unit 42 ha elementi per ritenere che TGR-STA-1030 abbia probabilmente compromesso enti governativi in diversi paesi, tra cui Cipro, Repubblica Ceca, Germania, Grecia, Italia, Polonia, Portogallo e Serbia. In almeno un caso, il gruppo ha compromesso un ministero delle Finanze, tentando di raccogliere informazioni relative allo sviluppo internazionale sia del paese colpito sia dell'Unione Europea.
Tecniche di intrusione: phishing, vulnerabilità note e rootkit
Gli attaccanti hanno combinato campagne di phishing mirato con lo sfruttamento di vulnerabilità note ma non ancora corrette per guadagnare un primo punto d'ingresso nelle reti delle vittime. Una volta ottenuto l'accesso iniziale, il gruppo ha condotto movimenti laterali all'interno delle infrastrutture, installando backdoor e meccanismi di persistenza per mantenere il controllo nel lungo periodo e nascondere le proprie attività.
I ricercatori di Unit 42 segnalano anche l'impiego di un rootkit del kernel Linux precedentemente sconosciuto, progettato per occultare processi e file a livello di sistema operativo, rendendo l'individuazione del malware significativamente più complessa. L'analisi del traffico ha inoltre rivelato che, tra novembre e dicembre 2025, il gruppo ha effettuato scansioni e ricognizioni su infrastrutture in 155 paesi, segnale che la campagna in corso potrebbe preludere a nuove ondate di attacchi.
Contesto geopolitico e reazioni delle autorità
Le tempistiche di alcune operazioni mostra sovrapposizioni con eventi ritenuti particolarmente rilevanti per gli interessi di un grande paese asiatico, come indagini commerciali, incontri su risorse minerarie strategiche o fasi delicate di crisi politiche. Pur evitando un'attribuzione diretta, Palo Alto Networks evidenzia come obiettivi e schemi operativi ricordino precedenti campagne collegati a infrastrutture di minaccia di matrice cinese.
La Cybersecurity and Infrastructure Security Agency (CISA) statunitense ha dichiarato di essere a conoscenza della campagna e di lavorare con partner internazionali e con i vendor per mitigare lo sfruttamento delle vulnerabilità segnalate. Palo Alto Networks afferma di aver notificato le 70 organizzazioni colpite, offrendo supporto per la risposta all'incidente e rendendo pubblici, in modo selettivo, alcuni nomi per sensibilizzare il settore sulle modalità operative del gruppo.
Implicazioni per la sicurezza
La campagna messa in luce da Unit 42 conferma come le infrastrutture governative e i settori critici restino un obiettivo privilegiato per il cyber-spionaggio sponsorizzato dagli stati, con tecniche avanzate ma spesso basate su vulnerabilità note e su errori di configurazione non sanati. Il fatto che gli attaccanti abbiano potuto operare indisturbati per mesi in molte delle reti compromesse evidenzia la necessità di rafforzare le azioni di monitoraggio, gestione delle patch, segmentazione delle infrastrutture e capacità di rilevamento a livello sia applicativo sia di sistema operativo, ma ancor di più a livello organizzativo e strategico.
Per il mondo governativo e per i gestori di infrastrutture critiche, il caso TGR-STA-1030 rappresenta un ulteriore avvertimento sull'importanza di investire in threat intelligence, condivisione delle informazioni e collaborazione con i grandi attori della cybersicurezza, in un contesto in cui il confine tra spionaggio digitale e pressione geopolitica tende ad essere sfumato. In parallelo, il settore privato è chiamato a considerare campagne di questo tipo non come episodi isolati, ma come operazioni di lungo periodo in grado di influenzare equilibri economici e catene di fornitura, soprattutto nei comparti ad alta intensità tecnologica e nelle filiere delle risorse strategiche.
