Un incidente informatico senza precedenti ha squarciato il velo sull’infrastruttura digitale che sostiene le operazioni di spionaggio di Pechino. Un archivio di oltre 12.000 documenti riservati, sottratti all’azienda di cybersicurezza Knownsec e pubblicati brevemente su GitHub, ha permesso agli analisti di osservare dall’interno come si costruisce e si gestisce un arsenale hacker di Stato. La fuga di informazioni, definita da molti la più grave nella storia del cyber warfare tra nazioni, non è solo una breccia tecnica ma un terremoto geopolitico.
Il materiale trafugato mostra un ecosistema industriale al servizio dell’intelligence. I file rivelano Remote Access Trojans per ogni piattaforma: Windows, macOS, Linux, iOS e Android. Un catalogo di strumenti capaci di penetrare sistemi governativi, aziende tecnologiche e infrastrutture critiche con una versatilità inquietante. Le linee di codice dedicate al monitoraggio mobile spingono il concetto di sorveglianza fino al parossismo: registri chat, contatti, coordinate GPS, tutto pronto per essere estratto dai telefoni di qualsiasi bersaglio. In mezzo ai documenti, una trovata tanto geniale quanto sinistra: un power bank truccato che, connesso via USB, copia i dati del dispositivo ospite. Un gadget da spionaggio che trasforma un oggetto quotidiano in un’arma silenziosa.
Nelle tabelle emerse dal leak si leggono quantità spaventose di dati sottratti in mezzo mondo: 95 gigabyte di registri d’immigrazione indiani, tre terabyte di dati di telecomunicazioni sudcoreani, quasi mezzo terabyte di documenti urbanistici taiwanesi. Altri file rimandano a operazioni in oltre venti paesi, dal Regno Unito al Giappone, fino alla Nigeria. È un inventario di furti che racconta una geopolitica digitale più efficace di qualsiasi ambasciata.
Knownsec, fondata nel 2007 e sostenuta finanziariamente da Tencent, lavora da anni con ministeri, banche statali e aziende strategiche cinesi. Il legame tra business e apparato pubblico è così stretto da rendere l’incidente non un problema di “sicurezza aziendale”, ma un caso di sicurezza nazionale. Davanti alla notizia, il Ministero degli Esteri cinese ha scelto la via della retorica neutra: nessuna conferma, nessuna smentita, solo la consueta condanna generica agli attacchi informatici. Una formula diplomatica che in realtà suona come una confessione implicita.
Le agenzie di sicurezza occidentali hanno reagito con un misto di allarme e opportunismo. Da un lato, l’episodio conferma che i confini tra cybercrime e spionaggio statale sono ormai dissolti. Dall’altro, la mole di materiale offre una chance irripetibile per capire il funzionamento interno delle offensive digitali cinesi. Analisti della National Security Agency, del GCHQ e di altre strutture stanno studiando i codici e i log trapelati per tracciare pattern di infezione, ricostruire infrastrutture di comando e rafforzare i propri sistemi di difesa. È come se il nemico avesse accidentalmente pubblicato il manuale delle proprie armi.
La parte più inquietante non è però la tecnologia, ma la simbiosi tra settore privato e macchina statale. Knownsec si presenta come un’azienda di cybersicurezza commerciale, con clienti, partnership e un linguaggio da startup. Ma dietro la facciata di innovazione e protezione digitale, operava come fornitore diretto di strumenti offensivi per l’intelligence. In pratica, la stessa società che vende difesa costruiva anche l’attacco. Un paradosso che smonta definitivamente la fragile narrativa della “plausible deniability” con cui molti governi, non solo la Cina, giustificano le proprie operazioni clandestine.
Questo caso mette a nudo una verità scomoda: la cybersicurezza globale è diventata un campo di battaglia dove non esistono più ruoli puri. Le aziende private non sono solo vittime o difensori, ma spesso attori consapevoli di una guerra ibrida fatta di exploit, zero-day e vulnerabilità pilotate. Chi controlla il codice controlla l’informazione, e chi controlla l’informazione controlla il potere. È il nuovo equilibrio della deterrenza digitale, in cui ogni riga di codice può valere più di un missile.
Il leak Knownsec segna una cesura. Mostra quanto il cyberspazio non sia più un dominio immateriale, ma un’estensione tangibile della politica estera e dell’intelligence. Rivela che la superiorità informatica non è più un’astrazione militare, ma una condizione industriale, alimentata da aziende che oscillano tra il profitto e la lealtà nazionale. Se la guerra del futuro si combatterà con algoritmi e backdoor, questa fuga di dati è la prima vera mappa di quel campo di battaglia.