Analisi

Xu Zewei estradato dall’Italia: il contractor MSS cinese dietro HAFNIUM e Silk Typhoon davanti alla giustizia americana

Dario Fadda 28 Aprile 2026

Un contractor cinese al servizio del Ministero della Sicurezza dello Stato è atterrato ieri a Houston in manette: Xu Zewei, 34 anni, è stato estradato dall’Italia negli Stati Uniti dopo l’arresto avvenuto a Milano nel 2025. L’indictment da nove capi di imputazione lo collega direttamente alla campagna HAFNIUM — ribattezzata Silk Typhoon — che tra il 2020 e il 2021 ha compromesso quasi 13.000 organizzazioni in tutto il mondo, inclusi laboratori di ricerca sul COVID-19 e migliaia di server Microsoft Exchange.

Chi è Xu Zewei e per chi lavorava

Xu Zewei non era un hacker solitario che operava dal suo appartamento: secondo l’accusa del Dipartimento di Giustizia americano, era un operativo contrattualizzato dello Shanghai State Security Bureau (SSSB), la divisione locale del MSS (Ministry of State Security), l’equivalente cinese della CIA. La sua copertura era Shanghai Powerock Network Co., Ltd., una delle decine di società-schermo che Pechino utilizza per mantenere una distanza plausibile dalle operazioni offensive di intelligence.

Il modello operativo è ormai collaudato: il MSS ingaggia hacker freelance o dipendenti di aziende private attraverso contratti formali, garantendo ai contractor protezione istituzionale e compenso economico, mentre lo Stato mantiene la negabilità. Lo stesso schema era già emerso con i gruppi APT40 e APT41, con accuse formali di DOJ risalenti al 2020 e al 2022.

La campagna HAFNIUM: zero-day su Exchange come arma di massa

Il nome HAFNIUM compare per la prima volta nei report Microsoft nel marzo 2021, quando l’azienda di Redmond divulga quattro vulnerabilità zero-day in Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) già sfruttate attivamente in natura. La catena di exploit, denominata ProxyLogon, consente a un attaccante remoto non autenticato di prendere il controllo completo di un server Exchange vulnerabile esposto su Internet.

La finestra tra la divulgazione e il patching di massa fu devastante: in pochi giorni, i threat actor legati a HAFNIUM scaricarono web shell su decine di migliaia di server in tutto il mondo. Le web shell — tipicamente file ASPX nascosti in directory come /aspnet_client/ — garantivano accesso persistente e permettevano di:

  • Accedere alle caselle di posta elettronica degli utenti senza autenticazione
  • Muoversi lateralmente all’interno della rete bersaglio
  • Esfiltrare intere cartelle di e-mail, credenziali e documenti interni
  • Installare ulteriori impianti malware per la persistenza a lungo termine

Il furto della ricerca sul COVID-19

Uno degli aspetti più inquietanti dell’indictment riguarda il targeting specifico di organizzazioni impegnate nella ricerca contro il COVID-19. Secondo i pubblici ministeri, Xu e i suoi co-cospiratori hanno attaccato istituti di ricerca, università e aziende farmaceutiche con l’obiettivo esplicito di sottrarre dati su vaccini, trattamenti e protocolli diagnostici. Le operazioni si collocano tra febbraio 2020 — quando il virus inizia a diffondersi globalmente — e giugno 2021, coprendo l’intero arco della corsa mondiale al vaccino.

L’FBI aveva avvisato già nel maggio 2020 che attori legati alla Cina stavano tentando di rubare proprietà intellettuale sulla ricerca pandemica, ma l’entità della campagna è emersa solo con le indagini successive. La sovrapposizione temporale tra la crisi sanitaria e le operazioni di spionaggio informatico solleva interrogativi scomodi sul ruolo dell’intelligence cinese nel tentativo di acquisire un vantaggio tecnologico e strategico durante la pandemia.

Il ruolo dell’Italia e l’estradizione

L’arresto di Xu Zewei a Milano nel 2025 rappresenta uno dei casi più significativi di cooperazione giudiziaria italo-americana in ambito cybercrime. L’Italia non è nuova a questo tipo di operazioni: negli anni ha collaborato con Washington per l’estradizione di figure legate al crimine informatico organizzato, ma un caso di hacking state-sponsored cinese di questa portata è inedito. L’estradizione, completata il 26 aprile 2026, pone l’imputato davanti alla corte federale di Houston per rispondere a un’accusa in nove capi.

La reazione di Pechino è stata prevedibile: il portavoce del Ministero degli Esteri ha definito le accuse “fabricate” e “pura finzione politica”, ribadendo la posizione di principio secondo cui la Cina “si oppone fermamente a qualsiasi forma di attività hacker”. Una narrativa difficile da sostenere di fronte a un indictment dettagliato che menziona infrastrutture, tool e vittime specifiche.

Da HAFNIUM a Silk Typhoon: l’evoluzione del gruppo

Microsoft ha ribattezzato HAFNIUM come Silk Typhoon nell’ambito del nuovo schema tassonomico che assegna nomi di fenomeni atmosferici agli attori state-sponsored. Il gruppo ha continuato ad operare dopo il 2021, espandendo il target set a infrastrutture governative, difesa, think tank e provider di servizi IT. Il pattern operativo rimane coerente: sfruttamento rapido di vulnerabilità zero-day o N-day in prodotti edge (VPN, firewall, server di posta) per ottenere accesso iniziale, seguito da movimenti laterali silenziosi e esfiltrazione prolungata.

Indicatori di compromissione (campagna HAFNIUM/ProxyLogon)

# CVE sfruttate nella campagna ProxyLogon
CVE-2021-26855  # SSRF pre-auth su Exchange (porta 443)
CVE-2021-26857  # Deserializzazione insicura su Unified Messaging
CVE-2021-26858  # Scrittura arbitraria post-auth su Exchange
CVE-2021-27065  # Scrittura arbitraria post-auth su Exchange

# Percorsi tipici delle web shell depositate
/aspnet_client/
/aspnet_client/system_web/
/owa/auth/
/ecp/auth/

# User-Agent noti usati da HAFNIUM
ExchangeServicesClient/0.0.0.0
python-requests/2.25.1

# Hash SHA-256 di web shell documentate
811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d

Implicazioni e raccomandazioni per i difensori

Il caso Xu Zewei riafferma un principio fondamentale nella difesa contro gli APT state-sponsored: la deterrenza giuridica, per quanto lenta, funziona come segnale. Ogni indictment pubblicato dal DOJ erode la narrazione di impunità che alimenta la proliferazione dei contractor hacker. Per i team di sicurezza, le lezioni operative sono chiare:

  • Patch velocity sugli asset perimetrali: la finestra tra divulgazione CVE e compromissione attiva si è ridotta a ore. I server Exchange, i dispositivi VPN e i firewall esposti su Internet devono essere patchati entro 24-48 ore da ogni advisory critico.
  • Hunting proattivo per web shell: strumenti come Microsoft Safety Scanner, MSERT e le regole YARA pubblicate da CISA permettono di rilevare web shell note anche dopo settimane di compromissione silente.
  • Monitoraggio dell’esfiltrazione DNS e HTTPS: i gruppi cinesi tendono a usare canali legittimi per il C2 (cloud storage, servizi di posta). Il behavioral analytics sul traffico outbound è più affidabile delle signature statiche.
  • Segmentazione degli ambienti di ricerca sensibili: laboratori R&D, dati clinici e proprietà intellettuale vanno isolati in segmenti con controlli di accesso stringenti e logging pervasivo.

Il caso è anche un promemoria del valore delle partnership internazionali: senza la cooperazione dell’Italia, Xu Zewei sarebbe probabilmente ancora libero. La caccia ai contractor MSS non si ferma qui.

💬 [[ unisciti alla discussione! ]]


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@insicurezzadigitale.com e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su Xu Zewei estradato dall’Italia: il contractor MSS cinese dietro HAFNIUM e Silk Typhoon davanti alla giustizia americana, utilizza la discussione sul Forum.
Condividi esempi, IOCs o tecniche di detection efficaci nel nostro 👉 forum community

[[ mastodon ]]

Su Mastodon mi trovi qui: Mastodon

:: i social ::

== forum community ==

💬 Partecipa alla community con i nostri Forum, unico spazio per tutto il Network!

~~ il network ~~

[[ NINAsec - la newsletter ]]