Incidenti e Violazioni

USB contraffatti made in China nelle reti classificate delle Forze di Autodifesa giapponesi: un anno di spionaggio silenzioso

Dario Fadda 29 Giugno 2026

Tra marzo 2024 e febbraio 2025, le Forze di Autodifesa Terrestre giapponesi (JGSDF) hanno inconsapevolmente utilizzato chiavette USB contraffatte — prodotte in Cina e contenenti malware riconducibile a gruppi APT legati a Pechino — su computer collegati a reti classificate. La scoperta, rivelata da un’inchiesta di Nikkei Asia basata su documenti interni riservati, ha portato alla luce una delle operazioni di compromissione hardware più significative degli ultimi anni a danno di una forza armata del G7.

Il vettore di infezione: hardware come arma

Tutto inizia con il terremoto della penisola di Noto nel gennaio 2024. Durante le operazioni di soccorso, l’headquarter del Middle Army della JGSDF a Itami, nei pressi di Osaka, riceve otto chiavette USB da fonti esterne all’Ishikawa Prefecture come parte della risposta all’emergenza. I dispositivi, acquistati a prezzi ben al di sotto di mercato tramite canali non ufficiali, vengono distribuiti senza verifiche adeguate e collegati a sistemi operativi. Le scansioni di sicurezza obbligatorie, che avrebbero dovuto rilevare anomalie prima dell’utilizzo, falliscono nel identificare il payload malevolo nascosto nel firmware delle chiavette.

La tecnica non è nuova, ma rimane devastantemente efficace: il malware si annida a livello di controller USB, operando al di sotto del sistema operativo e risultando invisibile agli strumenti di endpoint detection standard. L’esecuzione è automatica — nessuna interazione dell’utente è richiesta al di là dell’inserimento del dispositivo nella porta USB.

Undici mesi di presenza silenziosa

La compromissione rimane non rilevata per quasi un anno. È solo nel febbraio 2025 che un soldato di stanza a Itami nota il suo computer funzionare in modo insolitamente lento. La scansione del sistema rivela un virus che opera silenziosamente in background da mesi. A quel punto, secondo l’inchiesta di Nikkei, oltre 50 computer avevano già interagito con le chiavette infette — con quasi la metà di questi sistemi appartenente a reti chiuse utilizzate per la gestione di informazioni altamente classificate, inclusi movimenti di truppe e pianificazione operativa.

L’analisi forense dei dispositivi ha rilevato che sei delle otto chiavette distribuite durante l’operazione di soccorso contenevano lo stesso malware. Il ceppo è stato documentato da una società di cybersecurity statunitense come riconducibile a un gruppo di hacker sponsorizzato dallo Stato cinese, presentando pattern di comunicazione con infrastrutture C2, tecniche di offuscamento e modalità di deployment del payload coerenti con campagne di cyberspionaggio di matrice cinese.

Caratteristiche tecniche del malware

Il malware incorporato nei controller USB delle chiavette contraffatte presenta diverse caratteristiche tecniche rilevanti per i difensori:

  • Esecuzione automatica alla connessione (AutoRun firmware-level): il codice malevolo si attiva al momento dell’inserimento, senza richiedere l’interazione dell’utente o l’abilitazione di funzionalità AutoRun a livello OS — il tradizionale metodo di difesa risulta quindi inefficace.
  • Operatività below-OS: il malware opera a livello di firmware del controller USB, rendendo invisibile la sua presenza agli strumenti di endpoint detection convenzionali che operano sopra il livello del sistema operativo.
  • C2 covert channel: pattern di comunicazione C2 coerenti con APT cinesi documentati, con tecniche di offuscamento del traffico di rete progettate per simulare traffico legittimo.
  • Payload modulare: capacità di raccogliere metadata di sistema, accedere a file sensibili ed esfiltrare dati anche in ambienti air-gapped attraverso timing covert channel.
  • Evasione di scan standard: sei dispositivi su otto hanno superato le scansioni di sicurezza obbligatorie, suggerendo una progettazione specifica per eludere i tool AV/EDR in uso negli ambienti militari giapponesi.
# IoC e indicatori di compromissione documentati (aggregati da fonti pubbliche)
Vettore: USB firmware-level malware
Origine hardware: dispositivi contraffatti prodotti in Cina, venduti su marketplace online a prezzi anomalmente bassi
Distribuzione: canali non ufficiali durante operazioni di emergenza (terremoto Noto, gennaio 2024)
Esecuzione: automatica all'inserimento USB, nessuna interazione richiesta
Sistemi colpiti: Windows (ambienti military-grade JGSDF)
Rilevamento: febbraio 2025, dopo ~11 mesi di presenza silenziosa
Attribuzione: ceppo documentato come China-linked da vendor statunitense (nome non divulgato)
C2 pattern: traffico HTTP/S offuscato verso IP non pubblicamente rivelati
Impatto: 50+ computer, ~50% su reti classificate (movimenti truppe, pianificazione operativa)
Settori colpiti oltre JGSDF:
- Impianti manifatturieri (fabbriche di elettronica)
- Laboratori di ricerca chimica
- Studi di ingegneria
- Potenzialmente altri acquirenti dei drive online

Il silenzio istituzionale: una seconda vulnerabilità

Altrettanto allarmante è la gestione post-discovery. Dopo aver scoperto la compromissione nel febbraio 2025, la JGSDF ha scelto di mantenere l’incidente riservato, senza allertare il pubblico né emettere avvisi ai potenziali altri acquirenti degli stessi drive disponibili online. Una decisione che ha lasciato esposti fabbriche, laboratori di ricerca e istituti di ingegneria in tutto il Giappone che avevano acquistato gli stessi dispositivi contraffatti attraverso retailer online, come documentato nell’inchiesta follow-up di Nikkei. Lo stesso malware, con le stesse caratteristiche tecniche, continuava a diffondersi attraverso la supply chain commerciale mentre le forze armate tacevano.

Il Ministero della Difesa ha confermato solo che una chiavetta USB acquisita dalla JGSDF Middle Army headquarters è stata trovata contenere malware nel febbraio 2025, fermandosi ben al di sotto di una disclosure pubblica completa.

Contesto geopolitico: la strategia della “contaminazione silenziosa”

L’incidente si inserisce in un pattern più ampio di operazioni cyber cinesi contro infrastrutture militari e industriali in Asia-Pacifico. L’utilizzo di hardware contraffatto come vettore di compromissione, noto nel settore come hardware supply chain attack, presenta vantaggi operativi significativi rispetto agli attacchi software-based: bypassa i perimetri di rete, è difficile da attribuire in modo conclusivo, e può colpire sistemi air-gapped che sarebbero altrimenti irraggiungibili.

Il timing è particolarmente rilevante: l’operazione si sovrappone al periodo di tensione crescente nel Mar Cinese Orientale e alle dispute territoriali sulle isole Senkaku/Diaoyu, e avviene mentre il Giappone accelera la modernizzazione delle proprie capacità militari nell’ambito dell’AUKUS-Plus e della partnership con gli Stati Uniti. La capacità di monitorare movimenti di truppe e pianificazione operativa — anche prima di un eventuale conflitto — rappresenta un vantaggio strategico difficilmente sopravvalutabile.

Due righe per i difensori

  • USB allowlisting hardware: implementare soluzioni di controllo dell’accesso USB che verifichino l’identità del dispositivo a livello di firmware, non solo a livello di driver OS.
  • Validazione su sistemi isolati: tutti i dispositivi removibili devono essere sottoposti a scansione su sistemi dedicati e air-gapped prima di essere connessi a reti operative.
  • Procurement da vendor certificati: zero tolerance per dispositivi acquisiti tramite canali non ufficiali, indipendentemente da urgenze operative o logistiche.
  • Firmware integrity check: adottare tool in grado di analizzare il firmware del controller USB, non solo il contenuto del filesystem del dispositivo.
  • Zero Trust per removable media: trattare ogni dispositivo rimovibile come potenzialmente ostile, indipendentemente dalla provenienza apparente.
  • Incident disclosure tempestiva: un protocollo di notifica coordinata agli stakeholder potrebbe aver limitato la diffusione del malware attraverso la supply chain commerciale.

L’incidente delle chiavette USB nelle JGSDF è un promemoria brutale che la supply chain dell’hardware — specialmente per dispositivi a basso costo prodotti in contesti geopoliticamente sensibili — rappresenta un vettore di attacco che le organizzazioni ad alta sicurezza non possono permettersi di sottovalutare. La semplicità del vettore, una chiavetta USB da pochi dollari distribuita durante un’emergenza, rende la lezione ancora più amara.

💬 [[ unisciti alla discussione! ]]


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@insicurezzadigitale.com e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su USB contraffatti made in China nelle reti classificate delle Forze di Autodifesa giapponesi: un anno di spionaggio silenzioso, utilizza la discussione sul Forum.
Condividi esempi, IOCs o tecniche di detection efficaci nel nostro 👉 forum community

[[ mastodon ]]

Su Mastodon mi trovi qui: Mastodon

:: i social ::

== forum community ==

💬 Partecipa alla community con i nostri Forum, unico spazio per tutto il Network!

~~ il network ~~

[[ le newsletter ]]

== su di me ==

IT & Security blogger per passione. Nel 2003 ho fondato Spcnet.it.
Dal 2006 sono membro attivo del Gulch (Gruppo Utenti Linux Cagliari).
Oggi scrivo qui e nella pagina "La Stampa dice" trovate i miei contributi per le testate giornalistiche.

Per tutto il resto c'è dariofadda.it che contiene "quasi" tutto di me.