Gli studi legali statunitensi sono diventati un obiettivo di alto profilo per gruppi di hacker sospettati di avere legami con la Cina, che utilizzano un backdoor denominato BRICKSTORM per infiltrarsi nei sistemi informatici e mantenere un accesso a lungo termine alle macchine compromesse. L’allarme arriva da un rapporto congiunto del Google Threat Intelligence Group (GTIG) e della sua controllata Mandiant, pubblicato a settembre 2025.
Secondo gli esperti, l’obiettivo principale di queste intrusioni non è il sabotaggio o l’estorsione, bensì l’attività di spionaggio strategico. Il gruppo di hacker identificato come UNC5221 avrebbe mirato non solo a studi legali, ma anche a società tecnologiche e ad altre imprese strategiche.
UNC5221: spionaggio e accessi nascosti
Gli analisti spiegano che UNC5221 raccoglie informazioni tecniche utili per individuare vulnerabilità non ancora corrette nei software, aprendo così varchi per creare accessi occulti e muoversi lateralmente nelle reti colpite. Queste capacità permettono agli attaccanti di insediarsi a lungo nei sistemi: il tempo medio di permanenza non rilevata (dwell time) si attesta sui 393 giorni, contro una media globale di appena 10 giorni.
«UNC5221 non è un gruppo di criminali comuni interessati a frodi o ransomware, ma un attore di spionaggio con obiettivi geopolitici», ha spiegato Neil Hare-Brown, CEO della società londinese di cyber incident response Storm Guidance. «Gli studi legali rappresentano un target appetibile per via del loro coinvolgimento in registrazioni di brevetti, cause assicurative, fusioni e acquisizioni».
Dalla raccolta di email agli interessi geopolitici
Mandiant ha confermato di aver supportato, a partire da marzo 2025, diversi settori tra cui servizi legali, fornitori SaaS, outsourcer e aziende tecnologiche. In alcuni casi, gli hacker hanno preso di mira le caselle email di sviluppatori e amministratori di sistema; in altri, hanno puntato a persone direttamente coinvolte in attività connesse a interessi economici e geopolitici riconducibili alla Repubblica Popolare Cinese.
Sebbene Mandiant attribuisca le operazioni a UNC5221, resta cauta nel sovrapporre il gruppo ad altri cluster noti. In particolare, Microsoft aveva segnalato a marzo il gruppo Silk Typhoon, anch’esso collegato a operazioni di spionaggio cibernetico cinesi, ma GTIG e Mandiant non considerano i due attori perfettamente coincidenti.
Un panorama più ampio di minacce al settore legale
UNC5221 non è l’unico gruppo attivo contro il settore legale. Un’altra cyber gang, nota come Silent Ransom, è stata ritenuta responsabile di oltre 50 attacchi a studi legali, inclusi grandi nomi come Fenwick & West e diversi studi di medio livello a Philadelphia e Chicago.
La crescente pressione sul mondo legale riflette la centralità degli studi nella gestione di informazioni riservate e di valore economico, rendendoli obiettivi privilegiati tanto per gruppi criminali quanto per campagne di spionaggio sponsorizzate da Stati.
