Un gruppo APT asiatico ha compromesso reti governative e infrastrutture critiche in 37 Paesi. Nel mirino anche Europa e Italia, con particolare interesse per i ministeri chiave.
Autore: Redazione SecurityOpenLab
Targeting ad alta precisione e strumenti personalizzati sono i punti di forza di un gruppo APT che ha compromesso infrastrutture governative e critiche in 37 paesi, fra cui l'Italia. La sigla non è di quelle note: TGR-STA-1030, ma l’operazione che vi è associata è già una delle più estese campagne di cyber‑spionaggio scoperte negli ultimi anni. Unit 42 di Palo Alto Networks ritiene molto probabile che questo gruppo sia legato a uno Stato asiatico e descrive una lunga serie di compromissioni ai danni di ministeri, agenzie di polizia, parlamenti e operatori di infrastrutture critiche. In Europa, la lista dei Paesi colpiti include Germania, Italia, Polonia, Portogallo, Repubblica Ceca, Serbia, Grecia e Cipro, oltre alle istituzioni dell’Unione europea.
Il primo tassello della storia di TGR-STA-1030 risale agli inizi del 2025, quando gli analisti della Unit 42 hanno analizzato un cluster di campagne di phishing mirate contro i governi europei. È l’innesco di quella che è stata battezzata Shadow Campaigns, ossia una serie coordinata di operazioni che, partendo da email altamente mirate, avevano l’obiettivo di dare accesso alle reti governative.
In particolare, le campagne di spear phishing di alto profilo diffondevano a destinatari attentamente selezionati messaggi che sfruttavano temi politici, economici o diplomatici di attualità. Lo scopo era veicolare un loader che i ricercatori associano alla famiglia DiaoYu, che una volta aperto scaricava e installava ulteriori payload, aprendo un canale di comando e controllo che permetteva agli attaccanti di muoversi con discrezione nella rete target. Nel corso del 2024 e soprattutto del 2025 questa strategia si è evoluta e, oltre alle email, gli attaccanti iniziano a sfruttare vulnerabilità note su sistemi esposti su Internet, così da ridurre la dipendenza dall’errore umano e aumentare la probabilità di trovare un ingresso sfruttabile.
Il secondo anello della catena di attacco ha l’obiettivo di garantirsi nel lungo periodo la persistenza e la capacità di raccolta dati su larga scala. A questo scopo il gruppo sfrutta diversi strumenti, tra cui un rootkit per sistemi Linux identificato come ShadowGuard, progettato per operare a livello di kernel e manipolare le chiamate di sistema in modo da nascondere processi, file e connessioni legati all’attività degli attaccanti. Questo componente, combinato con backdoor e strumenti di amministrazione remota, consente agli attaccanti di restare invisibili a molte soluzioni di difesa per proseguire l’attacco con movimenti laterali, escalation dei privilegi e accesso a server con informazioni sensibili o critiche.
Il lavoro degli analisti della Unit 42 mostra che il gruppo è riuscito a mantenere la propria presenza nelle reti infette per mesi e a collezionare informazioni da ministeri e dipartimenti chiave: Interno, Esteri, Finanze, Commercio, Economia, Immigrazione, Giustizia, Energia e risorse naturali. In almeno un caso, gli attaccanti sono arrivati a violare il parlamento di una nazione, l’account di un alto funzionario e una serie di reti che facevano capo a forze di Polizia, unità antiterrorismo e operatori di telecomunicazioni a livello nazionale.
La portata dell’operazione è stata globale: tra novembre e dicembre 2025 questo gruppo ha scansionato infrastrutture governative associate a 155 Paesi, senza limitarsi a qualche IP isolato. In Germania, per esempio, TGR‑STA‑1030 si è concentrato su oltre 490 indirizzi di infrastrutture governative e, in parallelo, ha preso di mira oltre 600 indirizzi IP associati a domini *.europa.eu, segno di particolare interesse verso l’infrastruttura digitale dell’Unione europea.
La cronologia delle attività in Europa offre uno spaccato particolarmente interessante del modo in cui il gruppo collega le proprie operazioni agli eventi geopolitici. Per esempio, ad agosto 2025 il presidente ceco Petr Pavel ha incontrato il Dalai Lama durante un viaggio in India. Nelle settimane successive, TGR‑STA‑1030 ha avviato una campagna contro Esercito, Polizia, Parlamento e i ministeri dell’Interno, delle Finanze e degli Esteri della Repubblica Ceca. Quando a inizio novembre una testata tibetana ha annunciato che Pavel avrebbe co‑patrocinato il gala per il compleanno del Dalai Lama è partita un’altra ondata di attacchi al sito della presidenza ceca.
Gli esperti della Unit 42 ritengono che l’Italia sia uno dei Paesi europei compromessi dal gruppo. In particolare, il nostro Paese rientra in un cluster di governi in cui TGR‑STA‑1030 avrebbe violato almeno il ministero delle Finanze, con l’obiettivo di raccogliere informazioni sui programmi di sviluppo internazionale sia del singolo Stato sia dell’Unione europea. I ricercatori non entrano nel dettaglio, ma quanto pubblicato nella ricerca suggerisce un’attenzione strutturale del gruppo verso i canali tramite cui transitano dati su politiche fiscali, budget e progetti di cooperazione internazionale.
La mappa delle attività di TGR‑STA‑1030 include anche attività in Asia e Oceania, con un focus marcato sui Paesi che si affacciano sul Mar Cinese Meridionale e sul Golfo di Thailandia. La geolocalizzazione degli attacchi è fra gli elementi che hanno portati gli analisti della Unit 42 ad attribuire (seppur con prudenza) il gruppo all’area asiatica. Fra gli indizi, i ricercatori citano l’uso ricorrente di strumenti e servizi originari della regione, le preferenze di lingua, le correlazioni tra i tempi delle operazioni e gli eventi di maggiore interesse politico nell’area, oltre al fatto che l’attività coincide stabilmente con il fuso orario GMT+8. A questo si aggiunge un dettaglio: uno degli operatori del gruppo usa un nickname che fa riferimento al fondatore di Alibaba e Yunfeng Capital, figura simbolo dell’imprenditoria cinese contemporanea.
Al di là delle curiosità, a rendere particolarmente insidioso TGR‑STA‑1030 è l’equilibrio fra discrezione tecnica e ampiezza strategica. Unit 42 ha già lavorato con partner industriali e governi per notificare le organizzazioni colpite, supportare le attività di bonifica e distribuire Indicatori di Compromissione e regole di rilevazione, nella speranza di ridurre lo spazio di manovra residuo del gruppo.