Arrestato in Italia un hacker cinese legato al gruppo Silk Typhoon
Il 33enne cinese Xu Zewei, ricercato da anni dal governo statunitense per attività di cyberspionaggio su larga scala, è stato arrestato nei giorni scorsi dalla polizia italiana all’aeroporto di Malpensa, mentre cercava di entrare nel Paese. L’uomo, secondo le autorità USA, è uno degli attori chiave del gruppo APT noto come Silk Typhoon, precedentemente tracciato anche come APT27, Emissary Panda e UNC5221.
Un contractor al servizio del Ministero della Sicurezza di Stato cinese
Stando all’atto d’accusa federale USA (un documento di nove capi d’imputazione), Xu avrebbe agito come contractor privato, in collaborazione con Zhang Yu (ancora latitante), su incarico diretto del Ministero della Sicurezza di Stato cinese. Le attività sarebbero iniziate nel febbraio 2020, in piena pandemia, e si sarebbero concentrate sul furto di informazioni sensibili, tra cui ricerche sui vaccini per il COVID-19 sviluppate presso l’Università del Texas.
Xu, all’epoca direttore generale della società Powerock Network di Shanghai, è accusato di aver orchestrato una massiccia campagna di compromissione contro sistemi governativi, universitari e privati in USA ed Europa. La strategia: sfruttare vulnerabilità nei server Microsoft Exchange, installare web shell personalizzate e mantenere accessi remoti duraturi.
Indicatori tecnici: web shell errorEEE.aspx e vulnerabilità zero-day
Uno dei tratti distintivi del modus operandi di Xu e del suo gruppo è stata l’installazione di web shell ASPX, tra cui:
errorEEE.aspx
Questa, una shell dropper altamente obfuscata, è stata identificata da Microsoft come parte dell’ondata di attacchi noti inizialmente con il nome Hafnium (ora Silk Typhoon) nel marzo 2021. Gli attaccanti hanno sfruttato quattro vulnerabilità zero-day in Microsoft Exchange Server:
CVE-2021-26855: SSRF
CVE-2021-26857: RCE via deserialization
CVE-2021-26858 e CVE-2021-27065: Arbitrary file write
Microsoft ha rilasciato patch urgenti, ma molte infrastrutture sono rimaste compromesse per mesi. Le shell hanno permesso a Xu e soci di muoversi lateralmente, esfiltrare dati e persistere nella rete delle vittime anche dopo l’applicazione delle patch.
Vittime eccellenti e interesse geopolitico
Tra le vittime note:
Covington & Burling LLP, un prestigioso studio legale USA. Gli attaccanti hanno sottratto documenti relativi a quasi 300 clienti, inclusi dossier su questioni politiche sensibili in vista dell’insediamento dell’amministrazione Biden.
Ricercatori biofarmaceutici, con l’intento di sottrarre proprietà intellettuale su vaccini e terapie.
L’obiettivo? Informazioni strategiche su politiche USA, tecnologie emergenti e decisioni geopolitiche.
Il contesto: Silk Typhoon e l’ecosistema APT cinese
Silk Typhoon è solo uno dei numerosi gruppi APT attribuiti alla Cina, spesso sostenuti da aziende private che lavorano in regime “semi-ufficiale” per il governo. Secondo Microsoft Threat Intelligence, il gruppo si distingue per:
Capacità di sfruttare rapidamente exploit zero-day
Uso di backdoor leggere come China Chopper
Campagne di intrusione supply chain e targeting infrastrutturale
Ecco alcuni degli altri gruppi noti:
| Nome | Alias | Attività principali |
|---|---|---|
| Salt Typhoon | - | Compromissione di telecom globali, uso di exploit Cisco |
| Volt Typhoon | - | Accesso a router privati, targeting infrastrutture critiche USA |
| Flax Typhoon | - | Operazioni in Taiwan, creazione botnet basata su Mirai |
Questi gruppi, spesso interconnessi, combinano attività d’intelligence militare e furto di proprietà intellettuale con lo scopo di anticipare le mosse geopolitiche e rafforzare la supremazia tecnologica cinese.
L’Italia nella cyber-geopolitica globale
L’arresto di Xu in Italia è un evento che segna un precedente importante: l’utilizzo del nostro Paese come snodo strategico (o punto debole) nella movimentazione di soggetti coinvolti nel cyberspionaggio globale. Questo implica un potenziale coinvolgimento italiano in:
Processi di estradizione verso gli USA
Possibili retaliation diplomatiche
Nuove misure di cooperazione internazionale contro le minacce avanzate (APT)
"Gli operatori di rete dovrebbero considerare la possibilità di essere già compromessi e agire di conseguenza", affermava nel 2021 la portavoce della Casa Bianca Jen Psaki. Quel consiglio vale ancora oggi.
Related posts
