Google ha annunciato di aver interrotto le attività di una rete di cyberspionaggio collegata alla Cina che aveva colpito 53 organizzazioni in 42 Paesi. Il gruppo, tracciato come UNC2814 e noto anche come Gallium, era attivo da quasi un decennio e aveva preso di mira in particolare enti governativi e società di telecomunicazioni, settori che custodiscono informazioni strategiche e grandi quantità di dati personali.
Come hanno usato Google Sheets per coordinare gli attacchi
Secondo quanto ricostruito dal Google Threat Intelligence Group, gli attaccanti sfruttavano Google Sheets come canale di comando e controllo. In pratica utilizzavano documenti online per impartire istruzioni ai sistemi compromessi e raccogliere informazioni sottratte. Il traffico generato si confondeva con quello legittimo, rendendo più complessa l’individuazione di attività sospette all’interno delle reti aziendali. Google ha chiarito che i propri prodotti non sono stati violati: il servizio è stato impiegato come infrastruttura di supporto alle operazioni illecite.
Nel corso dell’operazione di contrasto, condotta insieme a Mandiant e alla non profit Shadowserver, sono stati disattivati progetti su Google Cloud riconducibili al gruppo, bloccate infrastrutture internet utilizzate per la gestione degli attacchi e chiusi gli account coinvolti. Al momento dell’interruzione risultava confermato l’accesso a 53 organizzazioni, con possibili compromissioni in almeno altri 22 Paesi.
Quali dati sono stati esposti e perché il caso riguarda le imprese
In uno dei casi analizzati è stato installato un backdoor chiamato GRIDTIDE su un sistema che conteneva nomi completi, numeri di telefono, date e luoghi di nascita, numeri di documenti di identità e codici elettorali. Informazioni di questo tipo permettono attività di profilazione mirata e monitoraggio di individui selezionati. Google ha collegato la campagna a precedenti operazioni finalizzate all’esfiltrazione di registri telefonici, al controllo di messaggi e all’utilizzo delle capacità di intercettazione legale degli operatori di telecomunicazioni.
L’ambasciata cinese ha respinto le accuse, sostenendo che la sicurezza informatica richiede cooperazione internazionale e negando qualsiasi coinvolgimento statale. Google ha inoltre precisato che questa attività è distinta da un’altra campagna nota come Salt Typhoon, che aveva preso di mira organizzazioni e figure politiche negli Stati Uniti.
Il caso mette in evidenza un punto che interessa direttamente imprese e professionisti del digitale: strumenti cloud utilizzati ogni giorno possono diventare vettori di operazioni di spionaggio quando vengono sfruttati in modo strategico. La questione si sposta quindi sulla capacità di monitorare comportamenti anomali, rafforzare i sistemi di logging e definire procedure di risposta agli incidenti che tengano conto anche dell’uso distorto di servizi legittimi.
La sicurezza quindi non si esaurisce nella protezione del perimetro tecnico, ma coinvolge governance, responsabilità contrattuali e conformità normativa, in un contesto in cui la competizione geopolitica attraversa direttamente le piattaforme digitali.
