2 marzo 2026 · 5 min lettura
Intelligenza Artificialeduck.ai promette chat AI senza tracciamento: nessun log, nessun IP, accordi con Anthropic e OpenAI. Ma DuckDuckGo ha già tradito questa fiducia una volta.
Self-HostingLa cloud sovranità europea è sovereignty washing: i datacenter sono in UE, le chiavi restano a Seattle. Gaia-X è fallito, NIS2 stringe. Il homelab risponde.
Self-HostingIscriviti alla newsletter per ricevere i migliori articoli direttamente nella tua inbox.
900k siti WordPress esposti a RCE critico, 500k a file read su wp-config.php. Se ospiti WordPress in homelab o su VPS, ecco cosa fare nei prossimi 30 minuti.
Il foglio di calcolo che usate per la lista della spesa è stato un'arma di spionaggio cinese per otto anni. Google Sheets — non un server nel deep web, non un dominio .onion — un normalissimo foglio di calcolo. Con quello, un gruppo di hacker legati a Pechino ha spiato telecomunicazioni e governi in 42 Paesi. Google ha dovuto smantellare pezzi della propria infrastruttura per fermarli.
Il gruppo si chiama UNC2814 e Google lo traccia dal 2017. L'arma principale è GridTide, una backdoor scritta in C che sfrutta un'idea tanto semplice quanto geniale: usare l'API di Google Sheets come canale di comando e controllo.
Il meccanismo è chirurgico. Il malware viene installato su un server compromesso — telecomunicazioni, governi — e si collega a un normalissimo foglio di calcolo Google. Ogni secondo, interroga la cella A1 in cerca di comandi. L'attaccante scrive l'istruzione nella cella, il malware la esegue, e scarica il risultato nelle celle successive. I dati del sistema infetto finiscono nella cella V1. A inizio sessione, le prime mille righe vengono cancellate per eliminare le tracce.
Per la persistenza, il malware si maschera come "xapt" — un nome volutamente simile al gestore di pacchetti apt di Linux — e si installa come servizio systemd, avviandosi automaticamente a ogni riavvio del server. Per le comunicazioni criptate, gli attaccanti usavano SoftEther VPN Bridge, un software open source per creare tunnel VPN nascosti.
I numeri sono da capogiro: 53 intrusioni confermate in 42 Paesi, con sospette operazioni in almeno 20 altri — il totale potrebbe superare i 70 Paesi. Le vittime principali? Operatori di telecomunicazione e agenzie governative in Africa, Asia e Americhe. Un'operazione che il team di Google ha definito "il risultato probabile di un decennio di sforzi concentrati".
Ma il bersaglio non erano i server in sé. Erano le persone. Google ha trovato GridTide installato su endpoint contenenti dati personali sensibili: nomi completi, numeri di telefono, date di nascita, numeri di documenti d'identità e codici elettorali.
"Questa attività è coerente con operazioni di cyberspionaggio nelle telecomunicazioni, principalmente sfruttate per identificare, tracciare e monitorare persone di interesse." — Google Threat Intelligence Group
Tradotto: la Cina non stava rubando segreti industriali. Stava costruendo un database di sorveglianza globale, sfruttando le infrastrutture telecom per accedere a registri chiamate, SMS, e persino le capacità di intercettazione legale dei provider — lo stesso strumento che i governi usano per le indagini giudiziarie, finito nelle mani di Pechino.
L'operazione è attiva almeno dal luglio 2018, secondo i metadati delle configurazioni VPN recuperate. Otto anni. Non otto settimane, non otto mesi — otto anni di presenza silenziosa dentro le reti di telecomunicazione di mezzo mondo.
La scoperta è avvenuta quasi per caso: durante un'indagine di routine, gli analisti di Mandiant Threat Defense hanno individuato attività anomala su un server CentOS. Il filo, una volta tirato, ha portato a un'operazione di portata mai vista prima.
Andrew Costis di AttackIQ ha sintetizzato il problema: "Questo camuffamento dà tempo agli attaccanti aggirando i trigger su cui i difensori fanno affidamento, come le firme dei malware tradizionali". E ha aggiunto che l'accesso alle reti telecom "consente raccolta di intelligence su larga scala, mappatura delle relazioni e monitoraggio a lungo termine".
Per fermare GridTide, Google ha dovuto fare qualcosa di insolito: distruggere pezzi della propria infrastruttura. Ha terminato i progetti Google Cloud controllati dagli attaccanti, disabilitato gli account — compresi account Google Cloud usati per il C2 — revocato l'accesso alle istanze di Google Sheets, e fatto il sinkhole dei domini usati come backup.
L'ironia è feroce: Google, che vende i propri strumenti cloud alle aziende di mezzo mondo come "sicuri e affidabili", ha dovuto ammettere che quegli stessi strumenti erano diventati l'arma perfetta per lo spionaggio di stato cinese. Non per un bug, non per una vulnerabilità — perché funzionavano esattamente come progettati. Il traffico verso Google Sheets è legittimo per definizione. GridTide ha semplicemente sfruttato questa fiducia cieca.
GridTide non è un malware sofisticato nel senso tradizionale. Non sfrutta zero-day, non usa crittografia custom, non ha tecniche di evasione particolarmente avanzate. La sua genialità è nella semplicità: si appoggia a un servizio che nessuno bloccherebbe mai.
Pensateci: quanti servizi cloud usate ogni giorno senza pensarci? Google Drive, OneDrive, Dropbox, Slack, Teams, Notion. Ognuno di questi ha API pubbliche. Ognuno genera traffico HTTPS verso domini fidati. Ognuno potrebbe essere il prossimo Google Sheets — un canale C2 invisibile nascosto nel rumore di fondo della vostra navigazione quotidiana.
Il report IBM X-Force pubblicato la stessa settimana conferma il quadro: gli attacchi che sfruttano applicazioni pubbliche sono aumentati del 44% in un anno, e lo sfruttamento delle vulnerabilità è diventato la prima causa di intrusione, responsabile del 40% degli incidenti osservati. L'era del firewall che protegge il perimetro aziendale è finita da un pezzo. GridTide ne è la dimostrazione definitiva.
Se la Cina può trasformare un foglio di calcolo in un'arma di spionaggio globale, la domanda non è "chi è stato spiato" — è "chi non lo è stato".
Otto anni di operazioni, 42 Paesi compromessi, e la scoperta è arrivata per caso durante un controllo di routine. GridTide non è una storia di hacking — è una storia di fiducia tradita. La fiducia cieca nei servizi cloud, nei domini "sicuri", nel traffico "legittimo". Quella fiducia è il perimetro che non avete mai protetto, perché non sapevate nemmeno che esistesse.
Fonti: The Hacker News, Google Cloud Blog, SecurityWeek, CSO Online, BleepingComputer, IBM X-Force Threat Index 2026