A distanza di un anno e mezzo dal leak alla società tecnologica iSoon, che ha fatto luce su un importante segmento dell’ecosistema cyber del Governo cinese, una nuova fuga di dati sta fornendo rivelazioni sul Great Firewall of China (GFW), uno dei sottosistemi dell’apparato di sorveglianza Golden Shield Project. Le informazioni trapelate riguarderebbero il lavoro di progettazione e gestione del GFW e la distribuzione in altri Paesi di presunte versioni commerciali del Firewall stesso.

Il controllo dei flussi informativi in Cina opera almeno su tre macrolivelli:

• A livello di rete, monitorando le informazioni in entrata e in uscita, ma non quelle che vengono scambiate all’interno del perimetro nazionale.
• A livello di servizio, sulle comunicazioni interne: servizi come blog, app di social media e piattaforme di gioco, che dispongono già, per le proprie policy di moderazione dei contenuti, gli strumenti per filtrare certe informazioni e bloccare specifici account, sono tenuti a svolgere tali operazioni anche per conto del Governo.
• Attraverso una burocrazia che rileva specifici casi di violazione e applica le sanzioni.

Le autorità sarebbero in grado di lanciare anche attacchi DDoS mirati, utilizzando uno strumento noto come “Great Cannon”, che possono interrompere la funzionalità dei portali web. Tuttavia, come hanno fatto notare diversi analisti e ricercatori, il Golden Shield Project opera con le dinamiche di una censura di Stato che non si concretizza solo in blocchi perentori o autentici “muri”. Si tratta, in realtà, di un gigantesco apparato elastico, semipermeabile, multiforme e, in molti suoi aspetti, imperfetto e imprevedibile.

A quanto pare, nessuno sa con certezza quali contenuti siano davvero censurati in un determinato periodo e come avvenga la censura. Nemmeno gli operatori umani coinvolti in questo lavoro di analisi e filtraggio sarebbero pienamente consapevoli delle regole da applicare. Perché qui interviene il grande paradosso, che ondeggia fra Kafka e Orwell, del dover eliminare ciò che non si deve sapere.

Così, l’efficacia maggiore proviene dall’induzione negli utenti di comportamenti autocensori. Per dirla in modo molto semplificato, se sai di essere controllato, non occorre che il controllo sia sistematico o perfetto (ed è meglio che non sia nemmeno logico e riconoscibile). È sufficiente che tu abbia la prova randomica di un’attività di censura perché si inneschi nel tuo comportamento tutta una serie di reazioni psicologiche di autodifesa e, quindi, di autocensura.

Il GFW, ribattezzato da alcuni ricercatori “Locknet”, è di fatto un’intranet nazionale che si collega alla rete  globale gestendo i flussi informativi secondo regole proprie. La fuga di notizie origina da un’importante branca di ricerca e sviluppo del GFW, costituita dalla compagnia Geedge Networks e dal MESA Lab, affiliato all’Institute of Information Engineering (IIE) della Chinese Academy of Sciences (CAS). Le due realtà sarebbero strettamente connesse, poiché Geedge Networks, fondata nel 2018, annovera fra i principali investitori l’ingegnere informatico Fang Binxing, “padre” del GFW.

Il leak, rivelato nei primi giorni di settembre 2025, consiste in 600 GB di dati – fra codice sorgente, registri di lavoro e comunicazioni interne – che possono essere scaricati dalla piattaforma indipendente Enlace Hacktivista. Numerosi team di professionisti hanno iniziato ad analizzarne il contenuto.

Sebbene la parte di codice sorgente sia ancora sotto studio, i 100.000 documenti interni di Geedge Networks avrebbero già fornito una serie di informazioni tecniche, commerciali e strategiche molto significative. Una delle indagini, durata mesi, è stata condotta dalla piattaforma di giornalismo investigativo Follow the Money, la redazione giornalistica investigativa tedesca Paper Trail Media, il quotidiano austriaco DER STANDARD e il quotidiano canadese The Globe and Mail, con l’aiuto di Amnesty International, gli attivisti di Justice for Myanmar, il Tor Project e InterSecLab.

Ne è emerso che Geedge Networks avrebbe commercializzato una suite di tecnologie di monitoraggio molto sofisticate che, si ipotizza, dovrebbero avere punti di contatto con il GFW. Nel dettaglio, la suite comprende Cyber Narrator, l’interfaccia principale con cui interagiscono i clienti e consente anche ad operatori non tecnicamente qualificati di tenere sotto controllo gruppi di utenti internet in aree specifiche.

Il Tiangou Secure Gateway, ritenuto il prodotto di punta, può bloccare le VPN, ma anche distribuire codice dannoso nei siti web o lanciare attacchi contro di essi. TSG Galaxy archivia i dati raccolti sugli utenti. Infine, Network Zodiac controlla tutti gli altri sistemi della suite e segnala eventuali errori.

L’intero arsenale, spiegano gli analisti, non è solo potente, ma anche scalabile, il che avrebbe consentito di distribuirlo in diversi Paesi, tra cui Myanmar, Pakistan, Kazakistan ed Etiopia. Gli esempi forniti tratteggiano attività piuttosto intrusive, effettuate da regimi ampiamente classificati come non democratici.

In particolare, l’azienda avrebbe fornito la struttura portante (backbone) per la realizzazione di una nuova versione del firewall nazionale pakistano, noto come Web Monitoring System (WMS) 2.0. In Myanmar, invece, avrebbe collaborato con l’attuale giunta militare per l’implementazione di una versione commerciale del GFW, che sarebbe affiancata dall’apporto di almeno 13 Telco nazionali. L’Etiopia, invece, sarebbe ricorsa alla compagnia di Fang Binxing per indurre il blocco di internet durante il conflitto nel Tigray (2020), utilizzando di fatto queste risorse come strumento di guerra. Infine, il Kazakistan avrebbe acquistato il Tiangou Secure Gateway.

La vocazione “internazionalista” di Fang Binxing – e l’interesse della Cina a intrattenere collaborazioni con la Russia su questo specifico tema – sarebbero confermati da un reportage giornalistico, risalente al 2023, del portale RadioFreeEurope.

Nell’aprile 2016 – molti anni prima che Pechino e Mosca dichiarassero la loro partnership “senza limiti” – la Safe Internet League, gruppo di pressione per la censura finanziato dall’oligarca russo conservatore Konstantin Malofeyev, ha organizzato una conferenza a Mosca a cui ha partecipato una folta delegazione cinese guidata, fra gli altri, proprio dall’architetto del GFW. Malofeyev e la Safe Internet League, spiegano gli autori del reportage, facevano parte di un gruppo che promuoveva una stretta cooperazione che avrebbe consentito loro di imparare dalla Cina come gestire meglio il web e limitare l’influenza digitale occidentale.

TS-Intelligence

Le informazioni riportate sono l’esito del lavoro di raccolta e analisi svolto dagli specialisti del team Theat Intelligence & Response di Telsy con l’ausilio della piattaforma TS-Intelligence, una soluzione proprietaria, flessibile e personalizzabile, che fornisce alle organizzazioni un panorama di rischio dettagliato.

Si presenta come una piattaforma fruibile via web e full-API che può essere azionata all’interno dei sistemi e delle infrastrutture difensive dell’organizzazione, con l’obiettivo di rafforzare la protezione nei confronti delle minacce cibernetiche complesse.

La costante attività di ricerca e analisi sui threat actors e sulle minacce emergenti in rete, sia in ambito APT che cyber crime, produce un continuo flusso informativo di natura esclusiva che viene messo a disposizione delle organizzazioni in real-time ed elaborato in report tecnici, strategici ed executive.

Scopri di più sui nostri servizi di Intelligence.