: Lascia il tuo voto agli Italian Security Awards 2026
Quattro cluster di comando e controllo e un portale citizen-facing infettato: due potenze si spiano a vicenda abusando delle stesse infrastrutture digitali.
Tra febbraio 2024 e aprile 2026, diversi threat actor hanno colpito le infrastrutture delle Forze di Polizia pakistane e hanno infettato una web application della polizia della più vasta provincia pakistana. Sono stati gli analisti di SentinelLabs a rilevare le attività di spionaggio di due potenze contrapposte (Cina e India) che, in momenti diversi, si sono trovate a spiare gli stessi sistemi. La vicenda è interessante perché il modello di attacco è replicabile ovunque, gli strumenti e gli schemi osservati richiamano famiglie di malware usate da gruppi APT attivi anche contro obiettivi europei.
Inoltre, come sottolinea il report, quando un'istituzione centralizza dati, flussi di lavoro e interazione con il pubblico in un'unica infrastruttura digitale, ne centralizza anche il valore per l'intelligence, candidandosi indirettamente come obiettivo per chiunque abbia un interesse geopolitico. La convergenza di più APT sulla stessa vittima dimostra poi che è possibile che una sola infrastruttura diventi terreno di scontro tra intelligence rivali, quando questa custodisce informazioni di alto valore come, in questo caso, il quadro della sicurezza interna di uno stato.
Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative
Nel caso specifico, il bersaglio principale era polizia del Belucistan, la più vasta provincia del Pakistan, teatro di un'insurrezione separatista che da anni attira l'attenzione di più potenze regionali. Nelle sue infrastrutture gli analisti hanno individuato traffico riconducibile a quattro strumenti distinti: PlugX, ShadowPad (erogati as-a-service, probabilmente coinvolgevano più di un operatore ciascuno) e Remcos (un solo gruppo), più il framework di red teaming Cobalt Strike.
Le attività riconducibili alla Cina sembrano motivate soprattutto dalla sicurezza dei cittadini cinesi in Pakistan, che sono stati bersaglio di attacchi ripetuti e letali, alcuni rivendicati dalla Balochistan Liberation Army, il gruppo separatista beluci contrario alla presenza cinese nel sud-ovest del paese, ricco di risorse. Questi episodi hanno alimentato un malcontento esplicito da parte di Pechino verso le prestazioni pachistane in materia di contrasto al terrorismo.

Per le attività riconducibili all'India, la motivazione più probabile è la rivalità storica con il Pakistan, di cui il Balochistan rappresenta un punto di frizione ricorrente. Islamabad accusa da tempo Nuova Delhi di sostenere l'insurrezione beluci; l'India, a sua volta, accusa il Pakistan di sostenere i gruppi militanti responsabili di attacchi nel Kashmir amministrato dall'India. In questo contesto, gli archivi della Balochistan Police offrirebbero a un attore indiano visibilità diretta su come il Pakistan gestisce la sicurezza in una provincia centrale nello scontro tra i due paesi.
Le attività più storiche sono legate a PlugX e ShadowPad, due backdoor condivise tra più gruppi cinesi, da qui la loro attribuzione a Pechino. Da notare che gli stessi APT hanno usato le medesime backdoor contro enti governativi, ministeri degli Esteri, difesa, organizzazioni non governative e centri di ricerca in Europa sudorientale. Anche l’abuso di Cobalt Strike è riallacciato alla Cina: uno dei due server usati ha colpito enti governativi, atenei, telecomunicazioni e ONG in Asia e Medio Oriente, comprese organizzazioni buddiste tibetane a Taiwan, bersaglio classico dello spionaggio cinese. Il secondo server ha parlato solo con la Balochistan Police, ed è lo stesso a cui puntano gli impianti trovati sul portale infetto di cui si parla più avanti.
Il cluster più recente è Remcos, attribuito a gruppo filo indiano che Recorded Future ha monitorato con la sigla TAG-179 e che si sovrappone ad APT già documentati da Kaspersky (Mysterious Elephant) e Qihoo 360 (Bitter). Tra le esche usate dal gruppo, una in particolare torna utile per capire il contesto: un finto piano operativo per il rimpatrio di stranieri irregolari in Pakistan, compresi i cittadini afghani con permesso temporaneo, con tanto di riferimenti a NADRA e alle intelligence pachistane. Fuori dal Pakistan, lo stesso gruppo ha colpito enti governativi, difesa, intelligence e manifattura in Asia meridionale, sudorientale e Medio Oriente.
Sulla Balochistan Police, il traffico sospetto ha toccato due appliance di rete, i server che ospitano le web application della polizia e un vecchio gateway email Fortinet, che non era il principale, ma era attivo ed esposto. Tra le applicazioni colpite ci sono i sistemi per i verbali di reato, il database del personale, il tracciamento dei veicoli rubati, la schedatura biometrica dei criminali, la registrazione di inquilini e ospiti d'albergo, tutte parte di un progetto di digitalizzazione della polizia sostenuto dall'Unione europea.
Il caso più concreto riguarda il Complaint Management System, il portale con cui i cittadini presentano reclami e ne seguono lo stato. Qui gli attaccanti hanno caricato un finto aggiornamento del portale, che in realtà era un malware capace di infettare chiunque aprisse la pagina, agenti di polizia compresi. Il codice portava tracce che rimandavano a uno sviluppatore di lingua cinese. Chi abboccava rischiava di aprire un varco nelle reti interne della polizia, se era un agente, o di finire sotto sorveglianza, se era un cittadino che aveva sporto denuncia.
Esplora altri articoli su questi argomenti
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
13-07-2026
13-07-2026
13-07-2026
10-07-2026