Hafnium e la strategia cyber cinese: ecco la capacità del gruppo hacker contro i dispositivi Apple

Il rapporto di SentinelLabs su Hafnium

Un’analisi dettagliata contenuta nel nuovo rapporto di SentinelLabs intitolato “China’s Covert Capabilities | Silk Spun From Hafnium” ha fatto luce sulle intricate e clandestine operazioni di hacking sponsorizzate dallo stato.

Il documento mette in evidenza le nuove scoperte riguardanti il gruppo di minaccia Hafnium, conosciuto anche come Silk Typhoon, rivelando come le sue attività siano profondamente radicate in una rete di aziende e individui che operano per conto del ministero della Sicurezza di Stato (MSS) di Pechino.

SentinelLABS ha identificato più di dieci brevetti per tecnologie forensi e di raccolta dati altamente intrusive. Aziende direttamente nominate nelle accuse statunitensi come collaboratrici del gruppo hanno registrato queste tecnologie, che offrono capacità offensive significative e precedentemente non documentate.
Hafnium. Le capacità offensive identificate spaziano dall’acquisizione di dati crittografati da endpoint alla forensica mobile e alla raccolta di traffico da dispositivi di rete.

L’accusa contro gli hacker Xu Zewei e Zhang Yu

La ricerca non si è limitata all’identificazione delle capacità tecniche, ma ha anche esplorato le complesse relazioni tra gli hacker incriminati, la proprietà delle aziende a cui sono associati e i legami di queste aziende con varie entità governative cinesi coinvolte in operazioni informatiche offensive.

Questa analisi approfondita fornisce una prospettiva più chiara sulla struttura e sulla modalità operativa del sistema di appalti informatici del governo di Pechino.

Nel luglio 2025, il dipartimento di Giustizia (DOJ) degli Stati Uniti ha rilasciato un atto d’accusa contro due hacker, Xu Zewei e Zhang Yu, che lavoravano per conto del ministero della Sicurezza di Stato (MSS) cinese.

L’accusa ha rivelato che Xu e Zhang erano impiegati da due aziende precedentemente non attribuite pubblicamente al gruppo di minaccia Hafnium. Non ci sono informazioni nel documento che indichino che l’arresto di Xu Zewei e Zhang Yu sia avvenuto in Italia.

Hafnium, noto anche come Silk Typhoon

Hafnium ha una lunga e nota storia di attacchi mirati a settori sensibili, tra cui appaltatori della difesa, think tank, istituti di istruzione superiore e istituti di ricerca sulle malattie infettive.

Il gruppo è diventato particolarmente prolifico nel 2021, quando ha sfruttato diverse vulnerabilità zero-day in Microsoft Exchange Server (MES).

Nonostante questa notorietà, il rapporto sottolinea che Hafnium viene spesso erroneamente incolpato per l’abuso più diffuso delle vulnerabilità ProxyLogon, avvenuto in seguito all’attività originale di Hafnium, quando gruppi di minaccia di livello inferiore hanno inondato la zona con tentativi di sfruttamento per distribuire payload che andavano dallo spionaggio al ransomware.

Le tre scoperte chiave di questa ricerca 

Sono tre le scoperte chiave di questa ricerca sono state fondamentali:

• strumenti offensivi non documentati: la ricerca ha identificato una serie di strumenti offensivi precedentemente non osservati o non segnalati, di proprietà di aziende associate a Hafnium e nominate nelle accuse statunitensi. Questi strumenti sollevano serie domande sul lavoro continuo di queste aziende a supporto dell’MSS e sulla notevole difficoltà nell’attribuzione precisa degli attacchi. Un esempio significativo è il possesso da parte di una delle aziende di almeno un brevetto su software, per recuperare file da computer Apple, una capacità che non era stata documentata come utilizzata da Hafnium o da qualsiasi gruppo di minaccia correlato.
• Gerarchie e relazioni complesse. L’accusa del DOJ ha fornito nuove intuizioni sui diversi livelli di relazione tra gli hacker e i loro “clienti” governativi. Questo aspetto solleva importanti interrogativi sulla misura in cui l’MSS e i suoi uffici regionali offrono supporto operativo agli hacker a contratto.
• Rete aziendale estesa. La ricerca ha approfondito diverse aziende legate agli hacker affiliati a Hafnium, documentando le loro intricate relazioni. Il rapporto ha trovato prove di più aziende registrate da uno degli imputati, Xu Zewei, e decine di altre da un associato, evidenziando una vasta rete operativa.

Le aziende affiliate ad Hafnium 

Questa nuova comprensione delle capacità delle aziende affiliate a Hafnium sottolinea una lacuna significativa nello spazio dell’attribuzione degli attori di minaccia: il tracciamento degli attori di minaccia tipicamente collega campagne e cluster di attività a un attore specifico.

Tuttavia, il rapporto dimostra la forza nell’identificare non solo gli individui dietro gli attacchi, ma anche le aziende per cui lavorano, le capacità che queste aziende possiedono e come tali capacità rafforzano le iniziative delle entità statali che stipulano contratti con queste aziende.

Le aziende dietro Hafnium e le loro capacità nascoste: un esame al microscopio

Il cluster Hafnium, come rivelato dalle recenti accuse del DOJ, è composto da almeno tre diverse aziende. Almeno due delle persone incriminate, Xu Zewei e Zhang Yu, e le rispettive aziende, Shanghai Powerock Network Co. Ltd. (上海势岩网络科技发展有限公司) e Shanghai Firetech Information Science and Technology Co. Ltd. (上海势炎信息科技有限公司), hanno operato sotto la direzione dello Shanghai State Security Bureau (SSSB).

Sebbene Yin Kecheng abbia probabilmente lavorato al fianco di Xu e Zhang, il suo ruolo esatto — come dipendente, subappaltatore o incaricato congiuntamente dall’SSSB — rimane poco chiaro. È anche incerto quale tipo di lavoro, accesso o strumenti Zhou Shuai stesse cercando di vendere attraverso i-Soon, un’altra azienda implicata in queste operazioni.

Shanghai Firetech, in particolare, si distingue per il suo vasto arsenale di strumenti, molti dei quali non sono stati pubblicamente attribuiti a Hafnium e Silk Typhoon.

I depositi di diritti di proprietà intellettuale di Shanghai Firetech indicano un’ampia gamma di tecnologie forensi con chiare applicazioni offensive. Tra queste troviamo software:

• di raccolta automatizzata di prove a distanza;
• completo di raccolta prove per computer Apple;
• intelligente di raccolta prove per router;
• di raccolta rapida di prove sul campo del computer;
• di produzione inversa di apparecchiature difensive.

La capacità del gruppo contro i dispositivi Apple

Un aspetto sorprendente è che, sebbene le capacità osservate di Hafnium coprano alcune di queste categorie generiche, nessuno aveva precedentemente segnalato le capacità del gruppo contro i dispositivi Apple. Questa scoperta è particolarmente rilevante considerando che Yin Wenji, co-fondatore di Shanghai Firetech, aveva già nel 2015 tenuto una conferenza presso la Central University of Finance and Economics in cui pubblicizzava la sua capacità di recuperare file da Apple Filevault, cinque anni prima che la sua nuova azienda presentasse domanda di brevetto per uno strumento in grado di raccogliere file da computer Apple.

Questo solleva interrogativi su come Hafnium sia riuscito a sfruttare le vulnerabilità di Microsoft Exchange  nello stesso mese in cui sono state scoperte pubblicamente da OrangeTsai, il 5 gennaio 2021.

Le teorie includono la compromissione di dispositivi di dipendenti Microsoft che lavoravano sui rapporti di vulnerabilità in entrata, o persino l’hacking dei dispositivi del ricercatore OrangeTsai per rubare le vulnerabilità durante la sua fase di ricerca.

La stretta relazione tra Zhang e Xu e l’SSSB rafforza la possibilità che il Bureau stesso abbia raccolto la ricerca di OrangeTsai attraverso un insider a Microsoft, un’operazione di accesso ravvicinato contro OrangeTsai, o un altro metodo di raccolta, e poi abbia passato le vulnerabilità a Xu e Zhang.

Un’accusa del Doj mostra che il dipartimento di Sicurezza dello Stato del Guangdong ha passato malware ai suoi hacker a contratto, un modello che potrebbe essere stato replicato dall’SSSB.

I brevetti

I depositi di brevetti più recenti di Shanghai Firetech, a partire dal 2021 fino al 2025, suggeriscono capacità che potrebbero essere utili non solo nelle operazioni cyber, ma anche nelle operazioni di Human Intelligence (HUMINT). Capacità come le “piattaforme di analisi degli elettrodomestici intelligenti (2)” (registrata il 13 maggio 2025) , il “software di controllo intelligente di reti di computer domestici a lungo raggio (6)” (registrata il 26 novembre 2024) e il “software di raccolta prove per elettrodomestici intelligenti (23)” (registrata il 7 giugno 2021) potrebbero supportare operazioni di accesso ravvicinato contro individui.

Altri brevetti recenti dimostrano che l’azienda continua a supportare operazioni cyber offensive, inclusi “software di decrittografia di dischi rigidi per computer specifici (13)” (registrata il 15 maggio 2023) , “software di raccolta prove da cellulari a distanza (21)” (registrata l’8 giugno 2021) o “software di pratica per la sicurezza delle informazioni di rete in tempo reale (24)” (registrata il 7 giugno 2021).

Sebbene questi strumenti possano avere anche applicazioni difensive commerciali, la mancanza di pubblicità o offerta di tali prodotti sul mercato suggerisce fortemente un uso primariamente offensivo.

I rapporti dell’azienda con uffici MSS oltre a quello di Shanghai

La vasta gamma di capacità brevettate da Shanghai Firetech, non tutte osservate nelle operazioni attribuite a Hafnium, potrebbe essere spiegata dai rapporti dell’azienda con uffici MSS oltre a quello di Shanghai. Sebbene non siano stati trovati bandi o contratti pubblici, Shanghai Firetech probabilmente offre servizi offensivi a clienti aggiuntivi al di fuori di Shanghai. L’azienda mantiene una filiale a Chongqing, Chongqing Firetech (重庆势炎信息科技有限公司), che potrebbe essere più grande della sua casa madre di Shanghai. Nell’estate del 2018, Chongqing Firetech ha aperto posizioni per un massimo di 25 stagisti universitari, inclusa una terza sede a Nanchang.

Shanghai Firetech, al contrario, pagava indennità assicurative per soli 32 dipendenti a tempo pieno. L’assenza di Chongqing Firetech dall’accusa non implica necessariamente l’assenza di coinvolgimento dell’azienda in attività attribuite al cluster Hafnium.

Evoluzione del naming e difficoltà nell’attribuzione

Nel 2022, Microsoft ha aggiornato l’alias del gruppo da  Hafnium a Silk Typhoon. Le accuse del DOJ indicano che il tracciamento delle attività di Yin e Zhou è avvenuto sotto varie convenzioni di denominazione e cluster, incluso Silk Typhoon.

Una sintesi della conferenza stampa del DOJ elenca numerosi alias per il gruppo Hafnium, tra cui “APT27”, “Threat Group 3390”, “Bronze Union”, “Emissary Panda”, “Lucky Mouse”, e “Iron Tiger”, e più recentemente “UTA0178”, “UNC 5221”, e “Silk Typhoon”.

La difficoltà di attribuire intrusioni ad organizzazioni

Il rapporto di SentinelLABS sottolinea la difficoltà intrinseca nell’attribuire con successo le intrusioni alle organizzazioni responsabili. La varietà di strumenti sotto il controllo di Shanghai Firetech supera di gran lunga quelli pubblicamente attribuiti a Hafnium e Silk Typhoon.

È possibile che queste capacità siano state vendute ad altri uffici MSS regionali e quindi non attribuite a Hafnium, nonostante siano di proprietà della stessa struttura aziendale. Sebbene gli strumenti per il controllo remoto di elettrodomestici, reti di computer domestici, la decrittografia di file e la forensica mobile remota possano avere applicazioni difensive commerciali, l’assenza di pubblicità per tali scopi suggerisce fortemente un uso offensivo.

Il tracciamento dei cluster di comportamento

Le designazioni degli attori di minaccia e le convenzioni di denominazione solitamente tracciano cluster di comportamento, non le organizzazioni che conducono le operazioni.

Un’attribuzione riuscita collega una campagna ai suoi veri operatori, come Hafnium o Fancy Bear.

Questo rapporto suggerisce che esistono molto probabilmente altre campagne e attività tracciate sotto nomi diversi che possono essere attribuite a Shanghai Firetech.

La loro mancata inclusione nell’accusa del  DOJ contro Zhang Yu e Xu Zewei potrebbe riflettere un equilibrio di interessi da parte dell’FBI, che rilascia nelle accuse solo ciò che è comunemente riconosciuto come Hafnium e soddisfa le soglie legali pertinenti, mantenendo privatamente l’intelligence sulle altre campagne e strumenti dell’azienda.

Contesto dell’ecosistema di appalti cyber cinese: una struttura stratificata

Il DOJ, nel suo atto d’accusa contro Xu Zewei e Zhang Yu, ha fornito nuove intuizioni sull’ecosistema di appalti del governo cinese. Questo sistema è caratterizzato da una struttura a più livelli per le sue operazioni di hacking offensive.

Al livello più basso di questo ecosistema di appalti si trovano attori come i-Soon. I file trapelati di questa azienda e le accuse statunitensi contro i suoi dipendenti rivelano una realtà di contratti mal pagati, scarso morale e la tendenza a subappaltare lavori a firme più grandi e più capaci.

Un gradino sopra i-Soon potrebbe essere il suo primo contractor e concorrente, Chengdu404, i cui fondatori sono stati anch’essi incriminati. Chengdu404 gode di un business stabile, opera da più uffici, e un tempo era uno degli APT più prolifici del paese.

Il livello di contractor che il governo di Pechino tiene più vicino sono attori come Xu Zewei e Zhang Yu, che operano sotto la direzione diretta di uffici MSS come l’SSSB.

Tuttavia, il MSS non ha completamente abbandonato le operazioni gestite direttamente dallo stato.

Precedenti accuse del Doj mostrano che altri uffici MSS utilizzano effettivamente società di copertura, come nel caso di Wuhan Xiao Rui Zhi (Wuhan XRZ), stabilita nel 2010 dal Dipartimento di Sicurezza dello Stato di Hubei come società di  copertura per operazioni statali.

Impatto geopolitico e reazione internazionale

L’attività sconsiderata di Hafnium ha avuto un impatto significativo sulla politica estera e ha unificato le voci di UE, Regno Unito e Stati Uniti.

Sebbene Hafnium sia diventato famoso dopo la rivelazione del loro accesso furtivo alle e-mail del governo statunitense tramite una vulnerabilità MES nota come ProxyLogon nel marzo 2021, il gruppo è spesso erroneamente incolpato per gli eventi successivi.

La proliferazione dello sfruttamento delle vulnerabilità ProxyLogon da parte di gruppi di minaccia minori ha portato a una situazione così grave che il DOJ ha ricevuto la sua prima autorizzazione giudiziaria per l’FBI per rimuovere in massa le “webshell” dai server compromessi.

Microsoft aveva allertato i suoi partner del Microsoft Advanced Protection Program riguardo a del codice POC il 23 febbraio, e solo cinque giorni dopo, il 28 febbraio, nuovi gruppi di hacking cinesi affiliati allo stato e criminali hanno iniziato a sfruttare la vulnerabilità su vasta scala. Rimane poco chiaro come l’exploit si sia proliferato prima della patch.

La dichiarazione congiunta del luglio 2021

Questa rapida diffusione e sfruttamento della vulnerabilità ha spinto Stati Uniti, Regno Unito e Unione Europea a rilasciare la loro prima dichiarazione congiunta nel luglio 2021, condannando le azioni di Pechino nel cyberspazio.

Questa dichiarazione ha turbato i responsabili politici del Partito Comunista Cinese (CCP), che in precedenza erano riusciti a impedire tali decreti congiunti convincendo uno stato dell’Ue a rifiutare tali dichiarazioni, dato che l’UE richiede il consenso unanime per le dichiarazioni di  politica estera.

Il fallout dall’abuso sconsiderato della vulnerabilità ha quindi rovinato il successo della politica estera di Pechino.

La campagna offensiva contro le operazioni di hacking statunitense

La dichiarazione congiunta ha così turbato i responsabili politici del CCP che il paese ha lanciato una campagna offensiva di opinione pubblica contro le operazioni di hacking statunitensi, che continua ancora oggi.

Prima della dichiarazione congiunta di luglio 2021, Pechino non coordinava le pubblicazioni di intelligence sulle minacce informatiche con gli organi di propaganda statali.

In seguito alla dichiarazione, emerge un modello di rapporti CTI coordinati del settore privato, pezzi di propaganda in lingua inglese e dichiarazioni del Ministero degli Affari Esteri di Pechino.

SentinelOne ha pubblicato un rapporto che dettaglia questo cambiamento nel febbraio 2024 , e le conclusioni di quel rapporto sono corroborate da un libro di testo sulla sicurezza informatica, la cui pubblicazione è a nome di un comitato di esperti nel paese.

Pechino ora rilascia regolarmente pezzi di propaganda insieme ai rapporti di intelligence sulle minacce informatiche.

A innescare questo cambiamento è il successo degli Usa nell’unificare l’Unione europea dietro una dichiarazione congiunta, che a sua volta il comportamento del Paese ha reso possibile.