Passa ai contenuti principali

Dalla Cina a Milano. Tra rootkit e identità false, l’hacker di Silk Typhoon fermato in Italia

Il 3 luglio scorso le autorità italiane hanno arrestato all’aeroporto di Milano Malpensa un cittadino cinese di 33 anni, Xu Zewei, ricercato dagli Stati Uniti per una lunga serie di reati informatici legati ad attività di cyber-spionaggio. Xu sarebbe, secondo le accuse americane, coinvolto in una campagna condotta dal gruppo APT noto come Silk Typhoon (noto in passato anche come Hafnium), ritenuto affiliato allo Stato cinese. Questo gruppo è già noto da anni per aver preso di mira obiettivi sensibili in ambito sanitario, governativo e accademico, con operazioni che includono il furto di proprietà intellettuale e di informazioni classificate. La notizia è stata confermata da diverse fonti attendibili, tra cui il Dipartimento di Giustizia degli Stati Uniti, l’agenzia stampa ANSA e testate specializzate come BleepingComputer e Decode39.

Secondo l’atto d’accusa, tra il 2020 e il 2021 Xu avrebbe partecipato a una campagna di intrusione su larga scala che ha colpito istituzioni accademiche statunitensi, in particolare centri coinvolti nella ricerca sui vaccini contro il COVID-19. L’University of Texas, già più volte vittima di intrusioni sofisticate, risulta tra i principali bersagli. Xu avrebbe operato attraverso società di copertura registrate in Cina, utilizzando alias come Xavier Xu e David Xu. L’operazione, condotta insieme ad altri complici, avrebbe fatto uso di tecniche avanzate: spear-phishing mirato, exploit zero-day e backdoor persistenti su infrastrutture sensibili, con finalità di spionaggio industriale. Una delle caratteristiche tecniche più preoccupanti riscontrate negli attacchi attribuiti a Silk Typhoon è la capacità di mantenere l’accesso attraverso rootkit a livello kernel, come il noto Demodex, e tramite l’abuso di strumenti di amministrazione remota legittimi, rendendo difficile il rilevamento anche da parte di team SOC esperti.

L’arresto è avvenuto mentre Xu tentava di entrare in Italia proveniente da Shanghai, apparentemente per motivi turistici o di affari. Fermato alla frontiera, è stato tradotto nel carcere di Busto Arsizio, dove è in attesa di udienza per l’estradizione verso gli Stati Uniti. Le autorità italiane hanno sequestrato i dispositivi elettronici in suo possesso, che ora sono al vaglio degli specialisti per un’analisi forense approfondita, che potrebbe fornire nuove prove e dettagli tecnici utili a mappare la rete d’attacco. Le accuse mosse nei suoi confronti includono accesso non autorizzato a sistemi informatici protetti, frode telematica, furto d’identità aggravato e cospirazione per commettere reati contro istituzioni federali statunitensi.

Il caso sta avendo implicazioni anche sul piano diplomatico. L’estradizione verso gli Stati Uniti potrebbe scatenare reazioni da parte del governo cinese, che da anni respinge le accuse occidentali di coinvolgimento in campagne di spionaggio informatico. Intanto, la magistratura italiana si trova in una posizione delicata, dovendo decidere su una richiesta estradizionale altamente sensibile in un contesto geopolitico teso, con Roma che cerca un difficile equilibrio tra l’alleanza euro-atlantica e i rapporti economici con Pechino. Se confermato il suo ruolo all’interno del gruppo APT Silk Typhoon, Xu rappresenterebbe uno dei pochi casi documentati in cui un membro di un gruppo di cyber-spionaggio legato a uno Stato viene intercettato fisicamente sul suolo europeo e posto sotto custodia. La dimensione globale della minaccia, la sofisticazione tecnica degli strumenti usati e la scelta degli obiettivi rendono questo episodio particolarmente significativo anche per il contesto europeo, dimostrando che la guerra cibernetica non si combatte solo online, ma può finire anche dentro le aule di tribunale.

Commenti

Popolari

Cisco ASA sotto attacco, due zero-day sfruttati per prendere il controllo dei firewall e impiantare malware persistente

Negli ultimi giorni è uscita una notizia che vale la pena leggere con attenzione: sono stati sfruttati in attacco dei “zero-day” contro i firewall Cisco della famiglia Adaptive Security Appliance (ASA) e prodotti correlati, e diversi avvisi ufficiali invitano a intervenire subito. La storia è stata riportata da più testate tecniche e da Cisco stessa, che ha pubblicato patch e dettagli sulle falle coinvolte. Cosa è successo, in parole semplici? Alcuni bug nel servizio web/VPN dei dispositivi ASA permettono a un attaccante — inviando richieste appositamente costruite — di superare i controlli e far girare codice sul dispositivo. In pratica, chi sfrutta questi bug può eseguire comandi come se fosse l’amministratore del firewall. Cisco ha identificato più CVE coinvolte e ha confermato che almeno due di queste (quelle catalogate come sfruttate “in the wild”) sono state usate dagli aggressori prima che le correzioni fossero pubblicate. La cosa che preoccupa di più non è solo il controllo tem...

Microsoft revoca l’accesso del suo cloud all’intelligence israeliana

Microsoft ha annunciato di aver cessato e disabilitato una serie di servizi cloud e di intelligenza artificiale per un’unità del Ministero della Difesa israeliano (IMOD), dopo aver accertato che tali tecnologie erano state impiegate per sostenere un sistema di sorveglianza di massa sui civili palestinesi.  L’azione dell’azienda è stata attivata in risposta a un’inchiesta giornalistica coordinata dal Guardian, +972 Magazine e Local Call, che ha rivelato come l’Unità 8200 dell’intelligence israeliana avesse archiviato e analizzato milioni di telefonate intercettate tramite la piattaforma Azure, con il fine di monitorare gli spostamenti e guidare operazioni militari nella Striscia di Gaza e in Cisgiordania.  Nel comunicato interno rivolto ai dipendenti, il vicepresidente Brad Smith ha dichiarato che Microsoft non fornisce tecnologie che facilitino la sorveglianza di massa dei civili e che, dopo un’analisi interna, sono emersi elementi che violavano i termini di servizio dell’azie...

Oyster e il malvertising, fake installer di Microsoft Teams diffonde una backdoor

Negli ultimi giorni è emersa una nuova ondata di malvertising e SEO poisoning che punta a intercettare chi cerca il client Microsoft Teams sui motori di ricerca, reindirizzando gli utenti verso annunci o pagine di download fasulle che offrono un installatore contraffatto invece dell’app ufficiale. Secondo le prime segnalazioni, il file distribuito in queste pagine malevole è un installer camuffato che installa la backdoor nota come Oyster (anche indicata in passato come Broomstick/CleanUpLoader), dando agli aggressori un punto d’accesso remoto sui sistemi compromessi. A confermare la dinamica sono multiple realtà che monitorano la minaccia: Blackpoint SOC ha descritto la campagna come basata su SEO poisoning e annunci malvertising che spingono download ingannevoli, mentre analisti di settore e vendor hanno trovato varianti del loader ospitate su domini compromessi o su pagine generate appositamente per mimare download legittimi. Il malware viene spesso confezionato in installer Windows...