USB contraffatti made in China nelle reti classificate delle Forze di Autodifesa giapponesi: un anno di spionaggio silenzioso
Tra marzo 2024 e febbraio 2025, le Forze di Autodifesa Terrestre giapponesi (JGSDF) hanno inconsapevolmente utilizzato chiavette USB contraffatte — prodotte in Cina e contenenti malware riconducibile a gruppi APT legati a Pechino — su computer collegati a reti classificate. La scoperta, rivelata da un’inchiesta di Nikkei Asia basata su documenti interni riservati, ha portato alla luce una delle operazioni di compromissione hardware più significative degli ultimi anni a danno di una forza armata del G7.
Il vettore di infezione: hardware come arma
Tutto inizia con il terremoto della penisola di Noto nel gennaio 2024. Durante le operazioni di soccorso, l’headquarter del Middle Army della JGSDF a Itami, nei pressi di Osaka, riceve otto chiavette USB da fonti esterne all’Ishikawa Prefecture come parte della risposta all’emergenza. I dispositivi, acquistati a prezzi ben al di sotto di mercato tramite canali non ufficiali, vengono distribuiti senza verifiche adeguate e collegati a sistemi operativi. Le scansioni di sicurezza obbligatorie, che avrebbero dovuto rilevare anomalie prima dell’utilizzo, falliscono nel identificare il payload malevolo nascosto nel firmware delle chiavette.
La tecnica non è nuova, ma rimane devastantemente efficace: il malware si annida a livello di controller USB, operando al di sotto del sistema operativo e risultando invisibile agli strumenti di endpoint detection standard. L’esecuzione è automatica — nessuna interazione dell’utente è richiesta al di là dell’inserimento del dispositivo nella porta USB.
Undici mesi di presenza silenziosa
La compromissione rimane non rilevata per quasi un anno. È solo nel febbraio 2025 che un soldato di stanza a Itami nota il suo computer funzionare in modo insolitamente lento. La scansione del sistema rivela un virus che opera silenziosamente in background da mesi. A quel punto, secondo l’inchiesta di Nikkei, oltre 50 computer avevano già interagito con le chiavette infette — con quasi la metà di questi sistemi appartenente a reti chiuse utilizzate per la gestione di informazioni altamente classificate, inclusi movimenti di truppe e pianificazione operativa.
L’analisi forense dei dispositivi ha rilevato che sei delle otto chiavette distribuite durante l’operazione di soccorso contenevano lo stesso malware. Il ceppo è stato documentato da una società di cybersecurity statunitense come riconducibile a un gruppo di hacker sponsorizzato dallo Stato cinese, presentando pattern di comunicazione con infrastrutture C2, tecniche di offuscamento e modalità di deployment del payload coerenti con campagne di cyberspionaggio di matrice cinese.
Caratteristiche tecniche del malware
Il malware incorporato nei controller USB delle chiavette contraffatte presenta diverse caratteristiche tecniche rilevanti per i difensori:
- Esecuzione automatica alla connessione (AutoRun firmware-level): il codice malevolo si attiva al momento dell’inserimento, senza richiedere l’interazione dell’utente o l’abilitazione di funzionalità AutoRun a livello OS — il tradizionale metodo di difesa risulta quindi inefficace.
- Operatività below-OS: il malware opera a livello di firmware del controller USB, rendendo invisibile la sua presenza agli strumenti di endpoint detection convenzionali che operano sopra il livello del sistema operativo.
- C2 covert channel: pattern di comunicazione C2 coerenti con APT cinesi documentati, con tecniche di offuscamento del traffico di rete progettate per simulare traffico legittimo.
- Payload modulare: capacità di raccogliere metadata di sistema, accedere a file sensibili ed esfiltrare dati anche in ambienti air-gapped attraverso timing covert channel.
- Evasione di scan standard: sei dispositivi su otto hanno superato le scansioni di sicurezza obbligatorie, suggerendo una progettazione specifica per eludere i tool AV/EDR in uso negli ambienti militari giapponesi.
# IoC e indicatori di compromissione documentati (aggregati da fonti pubbliche)
Vettore: USB firmware-level malware
Origine hardware: dispositivi contraffatti prodotti in Cina, venduti su marketplace online a prezzi anomalmente bassi
Distribuzione: canali non ufficiali durante operazioni di emergenza (terremoto Noto, gennaio 2024)
Esecuzione: automatica all'inserimento USB, nessuna interazione richiesta
Sistemi colpiti: Windows (ambienti military-grade JGSDF)
Rilevamento: febbraio 2025, dopo ~11 mesi di presenza silenziosa
Attribuzione: ceppo documentato come China-linked da vendor statunitense (nome non divulgato)
C2 pattern: traffico HTTP/S offuscato verso IP non pubblicamente rivelati
Impatto: 50+ computer, ~50% su reti classificate (movimenti truppe, pianificazione operativa)
Settori colpiti oltre JGSDF:
- Impianti manifatturieri (fabbriche di elettronica)
- Laboratori di ricerca chimica
- Studi di ingegneria
- Potenzialmente altri acquirenti dei drive online
Il silenzio istituzionale: una seconda vulnerabilità
Altrettanto allarmante è la gestione post-discovery. Dopo aver scoperto la compromissione nel febbraio 2025, la JGSDF ha scelto di mantenere l’incidente riservato, senza allertare il pubblico né emettere avvisi ai potenziali altri acquirenti degli stessi drive disponibili online. Una decisione che ha lasciato esposti fabbriche, laboratori di ricerca e istituti di ingegneria in tutto il Giappone che avevano acquistato gli stessi dispositivi contraffatti attraverso retailer online, come documentato nell’inchiesta follow-up di Nikkei. Lo stesso malware, con le stesse caratteristiche tecniche, continuava a diffondersi attraverso la supply chain commerciale mentre le forze armate tacevano.
Il Ministero della Difesa ha confermato solo che una chiavetta USB acquisita dalla JGSDF Middle Army headquarters è stata trovata contenere malware nel febbraio 2025, fermandosi ben al di sotto di una disclosure pubblica completa.
Contesto geopolitico: la strategia della “contaminazione silenziosa”
L’incidente si inserisce in un pattern più ampio di operazioni cyber cinesi contro infrastrutture militari e industriali in Asia-Pacifico. L’utilizzo di hardware contraffatto come vettore di compromissione, noto nel settore come hardware supply chain attack, presenta vantaggi operativi significativi rispetto agli attacchi software-based: bypassa i perimetri di rete, è difficile da attribuire in modo conclusivo, e può colpire sistemi air-gapped che sarebbero altrimenti irraggiungibili.
Il timing è particolarmente rilevante: l’operazione si sovrappone al periodo di tensione crescente nel Mar Cinese Orientale e alle dispute territoriali sulle isole Senkaku/Diaoyu, e avviene mentre il Giappone accelera la modernizzazione delle proprie capacità militari nell’ambito dell’AUKUS-Plus e della partnership con gli Stati Uniti. La capacità di monitorare movimenti di truppe e pianificazione operativa — anche prima di un eventuale conflitto — rappresenta un vantaggio strategico difficilmente sopravvalutabile.
Due righe per i difensori
- USB allowlisting hardware: implementare soluzioni di controllo dell’accesso USB che verifichino l’identità del dispositivo a livello di firmware, non solo a livello di driver OS.
- Validazione su sistemi isolati: tutti i dispositivi removibili devono essere sottoposti a scansione su sistemi dedicati e air-gapped prima di essere connessi a reti operative.
- Procurement da vendor certificati: zero tolerance per dispositivi acquisiti tramite canali non ufficiali, indipendentemente da urgenze operative o logistiche.
- Firmware integrity check: adottare tool in grado di analizzare il firmware del controller USB, non solo il contenuto del filesystem del dispositivo.
- Zero Trust per removable media: trattare ogni dispositivo rimovibile come potenzialmente ostile, indipendentemente dalla provenienza apparente.
- Incident disclosure tempestiva: un protocollo di notifica coordinata agli stakeholder potrebbe aver limitato la diffusione del malware attraverso la supply chain commerciale.
L’incidente delle chiavette USB nelle JGSDF è un promemoria brutale che la supply chain dell’hardware — specialmente per dispositivi a basso costo prodotti in contesti geopoliticamente sensibili — rappresenta un vettore di attacco che le organizzazioni ad alta sicurezza non possono permettersi di sottovalutare. La semplicità del vettore, una chiavetta USB da pochi dollari distribuita durante un’emergenza, rende la lezione ancora più amara.
Veronica Olsen 🏳️🌈
in reply to Ars Technica • • •Cătă 🇷🇴🇺🇦🇲🇩🇪🇺 likes this.
Remy Whisker
in reply to Veronica Olsen 🏳️🌈 • • •Minski
in reply to Remy Whisker • • •Veronica Olsen 🏳️🌈
in reply to Minski • • •Ronago
in reply to Veronica Olsen 🏳️🌈 • • •Raj 🇬🇧🇪🇺💻🖥(🌻🇺🇦;🇵🇸)
in reply to Ars Technica • • •Bent Chinrest
in reply to Raj 🇬🇧🇪🇺💻🖥(🌻🇺🇦;🇵🇸) • • •@realcainmosni the physical media is useless when the code it executes makes calls to C&C servers that have been decomm'ed
You're right about the problem, but the solution is absolutely not "you're all buying it wrong" - the solution is the enrolling governments in the fight for individual rights
and, hey, if buying isn't owning...
ruffin
in reply to Raj 🇬🇧🇪🇺💻🖥(🌻🇺🇦;🇵🇸) • • •@realcainmosni I mean idk… if you want to watch it once or twice over five years and get a good enough price, why not vod it, right?
I have a crapload of DVDs I’ve never rewatched. Might get 50¢ a pop from the local music or pawn shop. Maybe just get a few rewatchable favorites in physical media to keep & share, but then you’re probably good.
I mean, I hear you, and hope someone is conserving media (thanks archive.org!), and love DVDs for local libraries, but, practically speaking, I’m not sure it’s a huge deal if vod disappears.
But another way, what’s the advantage of media hoarding precisely?
Shadowbottle
in reply to Ars Technica • • •Quasit
in reply to Ars Technica • • •Buy physical media, not digital.
And don't forget DIVX. The industry has tried to force formats on us before where they could kill even physical media; refuse to co-operate. Piracy is your friend.
If buying isn't owning, piracy isn't stealing.
Cătă 🇷🇴🇺🇦🇲🇩🇪🇺 likes this.
�
in reply to Ars Technica • • •i am playing with the thoughts of getting a ps5. i just owned a nes and ps1. besides that i always was a computer dude.
i wonder if physical copies are still a thing? like dunno, will AAA games like GTA work as physical media. or can you put the disc in but it must do tons of gigs of updates?
Stuck Here
in reply to Ars Technica • • •If it wasn't for piracy some of our shared culture would be gone. I'm thinking first about cinema owners in the 20s and 30s who were supposed to destroy film copies or send them back. The ones who held onto stuff in their attics and helped to make current historians ecstatic with surprise finds.
Keep pirating!
CathyBikesBook
in reply to Ars Technica • • •Richard
in reply to Ars Technica • • •Cătă 🇷🇴🇺🇦🇲🇩🇪🇺 likes this.
KBSez
in reply to Ars Technica • • •Cătă 🇷🇴🇺🇦🇲🇩🇪🇺 likes this.
Tom_Huth
in reply to Ars Technica • • •Simply no interest @all.
Minski
in reply to Ars Technica • • •Rob
in reply to Ars Technica • • •first it was games, then movies... and when music is next for a big artist perhaps even the politicians will revolt.
First Sale Doctrine doesn't apply to these software purchases legally. We blindly accept the terms that we are actually purchasing an extended rental and not actually owning.
Unfortunately the only way to truly tackle this is to vote with the wallet, and pursue alternatives. I still buy CDs for this reason but I am a tiny minority.
Don't like something? Then stop 🛑
Tracks and Treks
in reply to Ars Technica • • •klausfiend
in reply to Ars Technica • • •FinFangFoomed
in reply to klausfiend • • •@klausfiend @arstechnica
Serge 🔻
in reply to Ars Technica • • •SamuelJohnson
in reply to Ars Technica • • •