Non un attacco informatico nel senso classico del termine, ma l’incastro giudiziario di un tassello dell’infrastruttura umana che rende possibile lo spionaggio digitale su scala industriale. L’Investigation Bureau del Ministero della Giustizia di Taiwan ha incriminato due imprenditori accusati di aver affittato a un’azienda cinese migliaia di account dell’app di messaggistica LINE, usati poi da operatori legati all’esercito informatico di Pechino per impersonare giornalisti e colpire funzionari, accademici e attivisti taiwanesi. Il caso conferma, con prove giudiziarie, quanto già documentato mesi prima da ICIJ e Citizen Lab.
Gli imputati e lo schema
Dopo una perquisizione negli uffici della società taiwanese Abigail, l’Ufficio investigativo di Taipei ha emesso ordini di sospensione condizionata del procedimento (deferred prosecution) nei confronti di Li Hualun e Chen Mengsen, per violazione della legge sulla protezione dei dati personali e altri reati. Secondo gli inquirenti, i due avrebbero raccolto numeri di account LINE registrati con SIM taiwanesi per poi rivenderli a Xiamen Empress Information Technology Co. Ltd., azienda cinese che le autorità di Taipei collegano direttamente alla cyber-forza di Pechino, per circa 161 dollari ad account. Gli imputati, si legge nella nota del bureau, avrebbero “agito sotto la direzione dell’unità cyber del Partito Comunista Cinese”.
Il modus operandi: giornalisti finti, malware vero
Gli account LINE acquisiti venivano usati per impersonare reporter internazionali, inclusi giornalisti affiliati all’International Consortium of Investigative Journalists (ICIJ), con l’obiettivo di costruire un rapporto di fiducia con i bersagli. Il pretesto, tanto semplice quanto efficace, sfruttava un’abitudine reale del settore: poiché i giornalisti investigativi usano di frequente strumenti di comunicazione cifrata per proteggere le fonti, gli operatori inviavano alle vittime software di “comunicazione cifrata” in realtà infetto, convincendole a scaricarlo e installarlo. Il risultato era la compromissione del dispositivo e l’esfiltrazione dei dati.
Le vittime designate non erano solo giornalisti: la campagna, secondo l’inchiesta taiwanese, ha colpito funzionari pubblici, accademici e membri di organizzazioni non governative, un pattern coerente con le più ampie operazioni di sorveglianza transnazionale che Pechino conduce contro la diaspora e la società civile.
Il collegamento con l’inchiesta “China Targets” di ICIJ e Citizen Lab
L’operazione della magistratura taiwanese arriva a valle di un’indagine giornalistica: ICIJ, insieme ai ricercatori del Citizen Lab dell’Università di Toronto, aveva già individuato email sospette che impersonavano reporter ICIJ e presunti whistleblower cinesi, inviate a giornalisti del consorzio come parte di una strategia offensiva sofisticata per sottrarre informazioni riservate a soggetti di interesse per il governo cinese. Tra i bersagli identificati da quell’inchiesta, pubblicata nell’aprile 2026 come seguito del progetto “China Targets” del 2025, figuravano attivisti uiguri, tibetani, taiwanesi e della diaspora di Hong Kong, oltre a giornalisti dello stesso ICIJ e di altre testate.
Citizen Lab aveva notato diversi errori nelle email malevole, un dettaglio che suggerisce un’operazione ad alto volume, verosimilmente automatizzata tramite intelligenza artificiale per identificare i bersagli e generare i messaggi con supervisione umana limitata. Il report dell’Investigation Bureau taiwanese conferma questo scenario, descrivendo esplicitamente la tattica del “pretesto della comunicazione cifrata” usata per veicolare il malware.
Un filone parallelo della stessa campagna, documentato sempre da ICIJ, ha visto giornalisti ricevere messaggi LinkedIn e “lettere di invito alla collaborazione” da società di consulenza che offrivano compensi per articoli su temi di commercio e difesa: intelligence occidentali hanno collegato queste società di facciata ai servizi di intelligence militare cinesi, interessati a reclutare o compromettere persone con accesso a informazioni sensibili.
Una condanna leggera per un’infrastruttura pesante
Sul piano giudiziario l’esito appare modesto: agli imputati sono state comminate sanzioni pecuniarie di 120.000 e 50.000 dollari taiwanesi (circa 3.700 e 1.600 dollari USA) a favore dell’erario, nell’ambito di una sospensione condizionata della pena. Ma il valore del caso non sta nell’entità della sanzione, bensì nella conferma giudiziaria di un modello operativo: gli apparati di intelligence cinesi non hanno bisogno di sviluppare exploit sofisticati quando possono affittare, a poche centinaia di dollari, l’identità digitale necessaria a bypassare la fiducia della vittima. È lo stesso principio dell’access broker nel cybercrime finanziario, applicato allo spionaggio politico transnazionale.
Implicazioni per chi lavora con fonti sensibili
- Verificare sempre l’identità di un presunto giornalista attraverso un canale indipendente prima di installare qualsiasi software da lui suggerito, anche se dichiarato “per comunicazioni sicure”
- Diffidare di offerte di collaborazione editoriale o retribuzione per articoli arrivate via LinkedIn o messaggistica istantanea da contatti non verificabili
- Preferire strumenti di comunicazione cifrata open source e verificati (Signal, PGP) scaricati esclusivamente dagli store ufficiali, mai da link ricevuti in chat
- Le organizzazioni che lavorano con fonti, attivisti o dissidenti dovrebbero adottare policy di verifica dell’identità a più fattori per ogni nuovo contatto giornalistico
- Segnalare a ICIJ, Citizen Lab o CERT nazionali eventuali tentativi di contatto sospetti che ricalcano questo schema
Indicatori e riferimenti operativi
Procedimento: Taipei City Investigation Office (Ministry of Justice Investigation Bureau, Taiwan)
Imputati: Li Hualun, Chen Mengsen (deferred prosecution)
Società taiwanese coinvolta: Abigail
Società cinese destinataria: Xiamen Empress Information Technology Co. Ltd.
Prezzo per account LINE: ~161 USD
Vettore sociale: impersonificazione di giornalisti (incl. rete ICIJ) via LINE
Payload: software di "comunicazione cifrata" trojanizzato
Target: funzionari pubblici, accademici, ONG, giornalisti, diaspora uigura/tibetana/HK
Indagini correlate: ICIJ + Citizen Lab (University of Toronto), progetto "China Targets" (2025-2026)
Fonti: The Record (Recorded Future News), International Consortium of Investigative Journalists (ICIJ), Ministry of Justice Investigation Bureau di Taiwan.