Operazioni di influenza e spionaggio informativo da parte di attori pro-Iran, pro-Cina e pro-Russia

In seguito alle proteste anti-ICE scoppiate a Los Angeles a inizio giugno 2025, il Google Threat Intelligence Group (GTIG) ha identificato una convergenza di campagne di influenza informativa (IO) attribuite a tre principali attori statali: Iran, Cina (RPC) e Russia. Queste campagne dimostrano una capacità altamente reattiva e strutturata nel manipolare eventi sociali per fini strategici di disinformazione e destabilizzazione.

MILAD TOWER: la reattività iraniana nel contesto statunitense

La campagna "MILAD TOWER", attribuita all’Iran, si conferma una delle operazioni IO più versatili e scalabili nel panorama attuale. Essa si avvale di una rete composita di siti di notizie inautentici e account social falsi, distribuiti per sottocluster geografici, con la capacità di ruotare rapidamente su eventi emergenti in contesti internazionali. Nell’episodio delle proteste a Los Angeles, GTIG ha osservato:

• Attivazione immediata di account fake US-based che si dichiarano appartenenti a comunità latinoamericane.

• Pubblicazione di contenuti multimediali ad alto impatto emotivo, come video delle rivolte e immagini dei centri di detenzione.

• Narrazioni centrate sull’accusa di razzismo sistemico e repressione federale, in linea con i temi storicamente cavalcati dalla campagna.

L’elemento di rilievo tecnico è la persistenza dell’infrastruttura IO di MILAD TOWER, in grado di operare su più piattaforme e aree linguistiche, e di riutilizzare template narrativi adattati ai contesti locali.

DRAGONBRIDGE: la narrativa cinese sull’implosione americana

Il cluster DRAGONBRIDGE, ben documentato in precedenza per le sue attività su X (ex-Twitter), ha ripreso l’evento di Los Angeles per rafforzare la narrativa della decadenza sistemica americana. I contenuti condivisi, tramite account coordinati, si focalizzano su:

• Rappresentazioni iperboliche del caos ("stato di guerra civile" in California).

• Denunce dell’uso della forza da parte delle autorità federali.

• Amplificazione tramite repost da fonti esterne non affiliate, a riprova di una strategia di legittimazione indiretta.

Un punto tecnico importante è l'uso di contenuti autentici rimodulati e fuori contesto: ad esempio, un video di un giornalista australiano ferito viene utilizzato per alimentare la narrativa secondo cui la libertà di parola negli USA è soppressa con violenza.

Doppelganger e Portal Kombat: l’apparato russo tra disinformazione e amplificazione

Due campagne russe distinte hanno fatto leva sui disordini per sostenere narrazioni di disgregazione interna negli Stati Uniti.

Doppelganger

Conosciuta per l’uso di media brand fittizi, Doppelganger ha attivato il sito usobserve.com, riconducibile tramite indicatori tecnici e pattern comportamentali. Tra i contenuti rilevati:

• Articoli come “Chaos in LA: Protests Turn into Looting Spree”.

• Sezione dedicata (“Border Invasion”) a tematiche migratorie, usate come wedge issue per polarizzare l’opinione pubblica.

Da notare la ripetizione strutturale di template editoriali, segno di un CMS comune, e la distribuzione cross-platform sincronizzata.

Portal Kombat

La rete "Pravda", riconducibile a Portal Kombat, agisce invece come aggregatore di contenuti pro-Russia, rilanciando materiali da Telegram, media statali e blog filo-Cremlino. I domini usa.news-pravda.com e trump.news-pravda.com hanno pubblicato:

• Articoli pro-Trump, anti-Newsom, e contenuti che legittimano l’uso della forza.

• Narrazioni confezionate per fomentare la polarizzazione interna.

La capacità di spin-off di domini regionalizzati e l’uso di subdomain nesting per targetizzare audience locali sono elementi tecnici chiave della campagna.

Questo episodio evidenzia tre dinamiche fondamentali per la threat intelligence:

1. Rapidità operativa: Tutti e tre gli attori hanno mostrato una capacità near-real-time di adattamento narrativo, elemento critico per il detection tempestivo.

2. Sovrapposizione tattica: Pur con obiettivi diversi, le campagne condividono tattiche simili: media fittizi, impersonificazione sociale, e leveraging di contenuti autentici.

3. Scelta strategica del tema immigrazione: L’immigrazione emerge come tema ad alta frizione, utile per dividere l’opinione pubblica statunitense e minare la coesione sociale.

Per i team CTI, è cruciale rafforzare le capacità di attribution su scala multi-dominio, migliorare la detection precoce dei segnali deboli (weak signals) in ambito social media, e soprattutto integrare feed OSINT, SIGINT e HUMINT per comprendere il campaign orchestration sottostante.