Unit 42, il team di threat intelligence di Palo Alto Networks, ha pubblicato una ricerca incentrata su TGR-STA-1030, attore sofisticato allineato a uno stato che ha compromesso infrastrutture governative e critiche in 37 paesi, prendendo di mira quasi una nazione su cinque a livello globale. In particolare, in Europa, secondo i ricercatori sono stati colpiti Germania, Italia, Polonia, Portogallo, Repubblica Ceca, Serbia, Grecia e Cipro.
Questo attore punta su un targeting ad alta precisione e strumenti personalizzati, anziché sul volume automatizzato. Grazie agli insight di threat intelligence e alla vasta scala di dati delle piattaforme Palo Alto Networks, Unit 42 è stata in grado di individuare queste firme a livello globale prima di collaborare con partner industriali e governativi per allertare le organizzazioni colpite e offrire assistenza per la bonifica.
Questa indagine rivela un nuovo gruppo di cyber-spionaggio, che Unit 42 traccia come TGR-STA-1030, riferendosi all’attività come “Shadow Campaigns”. I ricercatori ritengono con elevata probabilità che TGR-STA-1030 sia un gruppo allineato a uno stato che opera dall’Asia e che, nel corso dell’ultimo anno, abbia compromesso organizzazioni governative e infrastrutture critiche in 37 paesi. Ciò significa che circa un paese su cinque ha subìto una violazione critica da parte di questo gruppo negli ultimi dodici mesi. Inoltre, tra novembre e dicembre 2025, sono state osservate attività di ricognizione attiva da parte del Gruppo contro infrastrutture governative associate a 155 paesi.
Maggiori dettagli sulla ricerca di Unit 42
Unit 42 ha identificato per la prima volta TGR-STA-1030 (alias UNC6619) indagando su un gruppo di campagne di phishing dannose, “Shadow Campaigns” che prendevano di mira i governi europei a inizio 2025. Il prefisso TGR-STA indica un gruppo temporaneo di attività allineate a uno stato, mentre i ricercatori continuano a perfezionare l’attribuzione a un’organizzazione specifica.
Dall’indagine iniziale, sono state identificate infrastrutture dell’attore risalenti a gennaio 2024, suggerendo che il gruppo sia attivo da almeno due anni. Nell’ultimo anno, è stata monitorata con particolare attenzione la sua evoluzione, che ha portato alla compromissione di:
· Cinque enti nazionali di polizia/controllo delle frontiere
· Tre ministeri delle finanze e vari altri ministeri governativi
· Vari dipartimenti a livello globale, con funzioni economiche, commerciali, di risorse naturali e diplomatiche
Con forte probabilità, Unit 42 considera TGR-STA-1030 un gruppo allineato a uno stato che opera dall’Asia, basandosi sui seguenti risultati:
· Utilizzo frequente di strumenti e servizi dell’area
· Preferenze di impostazione della lingua
· Targeting e tempistiche che si allineano regolarmente con eventi di interesse per la region
· Connessioni a monte con infrastrutture operative originate dalla region
· Attività dell’attore che si allineano regolarmente con il fuso orario GMT+8
Inoltre, è stato scoperto che uno degli attaccanti utilizza il nickname “JackMa”, un possibile riferimento al fondatore di Alibaba Group e Yunfeng Capital, uomo d’affari miliardario e filantropo.
Nel corso dell’ultimo anno, il gruppo ha aumentato sostanzialmente i suoi sforzi di scansione e ricognizione, facendo evolvere nei fatti il suo approccio, passando dall’invio di email di phishing allo sfruttamento di vulnerabilità per l’accesso iniziale.
L’esempio più emblematico di questa attività è stata l’osservazione del gruppo che ha scansionato infrastrutture in 155 paesi tra novembre e dicembre 2025.
I ricercatori hanno anche osservato il successo del gruppo nel compromettere diverse organizzazioni governative e infrastrutture critiche a livello globale, valutando come, nell’ultimo anno, il gruppo abbia compromesso almeno 70 organizzazioni in 37 paesi. Gli attaccanti sono stati in grado di mantenere l’accesso a diverse entità colpite per mesi.
Tra le organizzazioni compromesse ci sono ministeri e dipartimenti dell’interno, degli affari esteri, delle finanze, del commercio, dell’economia, dell’immigrazione, dell’industria mineraria, della giustizia e dell’energia. Non solo, questo gruppo ha compromesso il parlamento di una nazione e un alto funzionario eletto di un’altra oltre ad aziende di telecomunicazioni a livello nazionale e diverse organizzazioni nazionali di polizia e antiterrorismo.
Sebbene possa perseguire obiettivi di spionaggio, i suoi metodi, obiettivi e la scala delle operazioni sono allarmanti, con potenziali conseguenze a lungo termine per la sicurezza nazionale e i servizi essenziali.
Monitorando attentamente la tempistica delle sue operazioni, abbiamo tratto correlazioni tra diverse delle sue campagne ed eventi del mondo reale che alimentano le valutazioni sulle potenziali motivazioni del gruppo.
Focus sull’Europa
Durante tutto il 2025, TGR-STA-1030 ha intensificato la sua attenzione sulle nazioni europee. A luglio 2025, ha dedicato uno sforzo concertato alla Germania, dove ha avviato connessioni a oltre 490 indirizzi IP che ospitano infrastrutture governative.
Ad agosto 2025, il Presidente ceco Petr Pavel ha incontrato privatamente il Dalai Lama durante un viaggio in India e nelle settimane successive, è stata osservata una scansione generale dell’infrastruttura governativa ceca, inclusi Esercito, Polizia, Parlamento e Ministeri dell’Interno, delle Finanze e degli Affari Esteri.
A inizio novembre, una fonte di notizie tibetana ha annunciato che il presidente ceco avrebbe anche co-patrocinato il gala per il 90° compleanno del Dalai Lama. Poco dopo, abbiamo assistito a un secondo ciclo di scansione focalizzato strettamente sul sito web del presidente ceco.
Separatamente, a fine agosto, il gruppo ha dedicato uno sforzo concertato all’infrastruttura dell’Unione Europea, tentando di connettersi a oltre 600 indirizzi IP che ospitano domini *.europa[.]eu.
Oltre alle attività di ricognizione, Unit 42 ritiene che il gruppo abbia probabilmente compromesso enti governativi in paesi quali Cipro, Repubblica Ceca, Germania, Grecia, Italia, Polonia, Portogallo e Serbia, compromettendo almeno un ministero delle finanze dove ha cercato di raccogliere intelligence sullo sviluppo internazionale sia dal paese colpito che dall’Unione Europea.
