Il 6 febbraio 2026, TechCrunch ha reso noto che il gruppo di hacking legato al governo cinese, noto come Salt Typhoon, ha compromesso diverse organizzazioni norvegesi sfruttando vulnerabilità in dispositivi di rete. Il servizio di sicurezza norvegese (Police Security Service, PST) ha attribuito al gruppo operazioni di spionaggio attraverso accessi illeciti a infrastrutture informatiche nazionali.
Attacco in un contesto globale complesso
Salt Typhoon, già identificato per campagne contro operatori di telecomunicazioni in Nord America e altrove, si distingue per la sua capacità di infiltrarsi nelle reti di comunicazione globali.
Il rapporto PST accusa il gruppo di aver sfruttato apparati di rete vulnerabili per stabilire accessi persistenti all’interno di infrastrutture critiche.
Gli attacchi, gestiti dal Ministero della Sicurezza di Stato cinese, sono noti dal 2023 e hanno coinvolto importanti aziende di telecomunicazioni, tra cui AT&T, Verizon e Viasat. Il gruppo utilizza rootkit avanzati come «Demodex» e sfrutta la compromissione di router Cisco, Ivanti e Palo Alto Networks.
La Norvegia sotto attacco: un allarme grave
Il documento PST delinea un quadro preoccupante: Beate Gangås, direttrice del PST, ha definito la situazione di sicurezza come la più seria dalla Seconda guerra mondiale. Ha evidenziato la pressione esercitata da intelligence straniere, incluse Cina, Russia e Iran, che operano sistematicamente in Norvegia per minare la resilienza nazionale.
La violazione attribuita a Salt Typhoon, focalizzata su dispositivi di rete, dimostra come anche Paesi tecnologicamente avanzati come la Norvegia rimangano vulnerabili a intrusioni sofisticate, con potenziali esfiltrazioni di dati sensibili o capacità di sorveglianza occulta.
Salt Typhoon sotto i riflettori internazionali
Questo incidente non è isolato. Agenzie di sicurezza di almeno 13 Paesi hanno emesso un avviso congiunto, segnalando che Salt Typhoon ha compromesso oltre 600 organizzazioni in più di 80 nazioni. Il gruppo si avvale di società cinesi riconducibili al MSS per ottenere strumenti, logistica e capacità operative.
Secondo analisti di Recorded Future, il gruppo continua a colpire reti di telecomunicazioni sfruttando vulnerabilità note su interfacce web di router Cisco.
L’uso di falle non corrette per instaurare tunnel GRE e mantenere accesso permanente è descritto come l’ottenimento delle “chiavi del regno”.
Trend, impatto e strategie di risposta
Salt Typhoon sta consolidando una nuova metodologia di cyber-spionaggio: l’impiego sistematico di dispositivi di rete, spesso trascurati nelle difese tradizionali. Il trend predilige attacchi stealth, persistenza su infrastrutture vulnerabili e compromissione prolungata dei sistemi. L’impatto è duplice: acquisizione di intelligence in tempo reale e rischio reputazionale e operativo per aziende e governi.
Le risposte consigliate includono il rafforzamento delle policy di gestione delle patch, il monitoraggio continuo dei router, la segmentazione delle reti di telecomunicazione e una cooperazione internazionale più stretta contro le intrusioni cinesi.
L’avviso congiunto multi-nazionale rappresenta un passo cruciale verso una difesa collettiva.
Il caso norvegese conferma che Salt Typhoon opera attivamente in Europa, sfruttando falle sofisticate e obiettivi sensibili. La sicurezza delle infrastrutture di rete si conferma un nodo strategico nella geopolitica del cyberspazio.
