Un recente rapporto ha rivelato che hacker sponsorizzati dallo stato cinese hanno infiltrato diversi fornitori di servizi internet (ISP) negli Stati Uniti come parte di una campagna di spionaggio informatico. Le attività sono state attribuite a un gruppo di minacce noto come Salt Typhoon, anche conosciuto come FamousSparrow e GhostEmperor. Secondo il Wall Street Journal, gli investigatori stanno esaminando se gli intrusi abbiano avuto accesso ai router Cisco Systems, componenti chiave della rete che gestiscono gran parte del traffico internet.

L'obiettivo finale degli attacchi è ottenere un punto d'appoggio persistente all'interno delle reti bersaglio, permettendo agli aggressori di raccogliere dati sensibili o lanciare attacchi informatici dannosi. GhostEmperor è emerso per la prima volta nell'ottobre 2021, quando la società di sicurezza informatica russa Kaspersky ha dettagliato un'operazione di lunga data che mirava a obiettivi nel Sud-est asiatico per distribuire un rootkit chiamato Demodex. Tra gli obiettivi della campagna figuravano entità di alto profilo in Malesia, Thailandia, Vietnam e Indonesia, oltre a altri stati come Egitto, Etiopia e Afghanistan.

Recentemente, nel luglio 2024, Sygnia ha rivelato che un cliente anonimo è stato compromesso dal gruppo di minacce nel 2023, che ha infiltrato la rete di uno dei suoi partner commerciali. Durante l'indagine, sono stati trovati diversi server, workstation e utenti compromessi da un attore di minacce che ha utilizzato vari strumenti per comunicare con una serie di server di comando e controllo. Uno di questi strumenti è stato identificato come una variante di Demodex.

Questo sviluppo arriva pochi giorni dopo che il governo degli Stati Uniti ha dichiarato di aver interrotto una botnet da 260.000 dispositivi chiamata Raptor Train, controllata da un altro gruppo di hacker legato a Pechino noto come Flax Typhoon. Rappresenta anche l'ultimo di una serie di sforzi sponsorizzati dallo stato cinese per colpire telecomunicazioni, ISP e altri settori di infrastrutture critiche.

La crescente minaccia di spionaggio informatico da parte di attori statali sottolinea l'importanza della sicurezza delle reti e della protezione delle infrastrutture critiche. Le aziende e i governi devono rimanere vigili e adottare misure proattive per difendersi da queste minacce, che possono avere conseguenze devastanti per la sicurezza nazionale e la stabilità economica.