Gli Stati Uniti annunciano l'arresto di un hacker cinese collegato al gruppo HAFNIUM

In un significativo sviluppo nella lotta alla criminalità informatica internazionale, Xu Zewei, cittadino cinese di 33 anni, è stato arrestato a Milano, in Italia, il 3 luglio 2025. L'arresto è stato effettuato su richiesta degli Stati Uniti, dove Xu deve rispondere di gravi accuse relative a diffuse intrusioni informatiche.

Xu, insieme al suo coimputato Zhang Yu, 44 anni, è citato in un atto di accusa di nove capi d'imputazione desecretato nel Distretto Meridionale del Texas. Le accuse derivano dal loro presunto coinvolgimento in attacchi informatici perpetrati tra febbraio 2020 e giugno 2021. Tra queste intrusioni figura la famigerata campagna HAFNIUM (nota anche come Silk Typhoon) , che ha compromesso migliaia di computer in tutto il mondo, molti dei quali negli Stati Uniti.

Secondo il comunicato stampa dell'8 luglio del Dipartimento di Giustizia degli Stati Uniti, Xu Zewei è stato diretto nelle sue attività di hacking da funzionari del Ministero della Sicurezza di Stato cinese (MSS), in particolare dall'Ufficio per la Sicurezza di Stato di Shanghai (SSSB). È importante notare che MSS e SSSB sono agenzie di intelligence responsabili del controspionaggio interno della Cina, dell'intelligence estera non militare e di aspetti della sua sicurezza interna.

Xu sarebbe stato impiegato presso la Shanghai Powerock Network Co. Ltd. (Powerock), una società identificata come una delle tante entità "abilitanti" che conducono operazioni di hacking per il governo cinese.

"Questo arresto sottolinea l'impegno paziente e instancabile degli Stati Uniti nel perseguire gli hacker che cercano di rubare informazioni appartenenti ad aziende e università statunitensi", ha dichiarato il Procuratore Generale Aggiunto John A. Eisenberg. Il Procuratore degli Stati Uniti Nicholas Ganjei per il Distretto Meridionale del Texas ha aggiunto che Xu avrebbe "hackerato e rubato ricerche cruciali sul COVID-19 su richiesta del governo cinese".

L' atto d'accusa (PDF) descrive in dettaglio come Xu e i suoi complici abbiano preso di mira università, immunologi e virologi statunitensi coinvolti nella ricerca su vaccini, trattamenti e test per il COVID-19 all'inizio del 2020. Xu avrebbe confermato di aver compromesso un'università di ricerca nel distretto meridionale del Texas nel febbraio 2020 e gli sarebbe stato ordinato di accedere ad account di posta elettronica specifici di ricercatori.

Successivamente, alla fine del 2020, Xu e i suoi collaboratori hanno sfruttato vulnerabilità di Microsoft Exchange Server, un software di posta elettronica ampiamente utilizzato. Questo sfruttamento è stato centrale nella campagna HAFNIUM, un'intrusione su larga scala divenuta pubblica nel marzo 2021, quando Microsoft l'ha resa pubblica.

"Attraverso HAFNIUM, il CCP ha preso di mira oltre 60.000 entità statunitensi, riuscendo a catturare più di 12.700 di loro per rubare informazioni sensibili", ha osservato il vicedirettore Brett Leatherman della divisione informatica dell'FBI.

Tra le vittime della campagna HAFNIUM figurano un'altra università del Texas e uno studio legale internazionale, dove venivano ricercate informazioni relative a politici e agenzie governative statunitensi. Xu deve rispondere di molteplici accuse, tra cui associazione a delinquere finalizzata a commettere frode telematica, frode telematica, associazione a delinquere finalizzata a danneggiare computer protetti e furto d'identità aggravato.

Queste accuse prevedono pene severe, con alcuni capi d'imputazione che possono arrivare fino a 20 anni di carcere. Xu è attualmente in attesa di estradizione negli Stati Uniti, mentre il suo coimputato, Zhang Yu, è ancora in libertà.