Il 3 luglio scorso le autorità italiane hanno arrestato all’aeroporto di Milano Malpensa un cittadino cinese di 33 anni, Xu Zewei, ricercato dagli Stati Uniti per una lunga serie di reati informatici legati ad attività di cyber-spionaggio. Xu sarebbe, secondo le accuse americane, coinvolto in una campagna condotta dal gruppo APT noto come Silk Typhoon (noto in passato anche come Hafnium), ritenuto affiliato allo Stato cinese. Questo gruppo è già noto da anni per aver preso di mira obiettivi sensibili in ambito sanitario, governativo e accademico, con operazioni che includono il furto di proprietà intellettuale e di informazioni classificate. La notizia è stata confermata da diverse fonti attendibili, tra cui il Dipartimento di Giustizia degli Stati Uniti, l’agenzia stampa ANSA e testate specializzate come BleepingComputer e Decode39.
Secondo l’atto d’accusa, tra il 2020 e il 2021 Xu avrebbe partecipato a una campagna di intrusione su larga scala che ha colpito istituzioni accademiche statunitensi, in particolare centri coinvolti nella ricerca sui vaccini contro il COVID-19. L’University of Texas, già più volte vittima di intrusioni sofisticate, risulta tra i principali bersagli. Xu avrebbe operato attraverso società di copertura registrate in Cina, utilizzando alias come Xavier Xu e David Xu. L’operazione, condotta insieme ad altri complici, avrebbe fatto uso di tecniche avanzate: spear-phishing mirato, exploit zero-day e backdoor persistenti su infrastrutture sensibili, con finalità di spionaggio industriale. Una delle caratteristiche tecniche più preoccupanti riscontrate negli attacchi attribuiti a Silk Typhoon è la capacità di mantenere l’accesso attraverso rootkit a livello kernel, come il noto Demodex, e tramite l’abuso di strumenti di amministrazione remota legittimi, rendendo difficile il rilevamento anche da parte di team SOC esperti.
L’arresto è avvenuto mentre Xu tentava di entrare in Italia proveniente da Shanghai, apparentemente per motivi turistici o di affari. Fermato alla frontiera, è stato tradotto nel carcere di Busto Arsizio, dove è in attesa di udienza per l’estradizione verso gli Stati Uniti. Le autorità italiane hanno sequestrato i dispositivi elettronici in suo possesso, che ora sono al vaglio degli specialisti per un’analisi forense approfondita, che potrebbe fornire nuove prove e dettagli tecnici utili a mappare la rete d’attacco. Le accuse mosse nei suoi confronti includono accesso non autorizzato a sistemi informatici protetti, frode telematica, furto d’identità aggravato e cospirazione per commettere reati contro istituzioni federali statunitensi.
Il caso sta avendo implicazioni anche sul piano diplomatico. L’estradizione verso gli Stati Uniti potrebbe scatenare reazioni da parte del governo cinese, che da anni respinge le accuse occidentali di coinvolgimento in campagne di spionaggio informatico. Intanto, la magistratura italiana si trova in una posizione delicata, dovendo decidere su una richiesta estradizionale altamente sensibile in un contesto geopolitico teso, con Roma che cerca un difficile equilibrio tra l’alleanza euro-atlantica e i rapporti economici con Pechino. Se confermato il suo ruolo all’interno del gruppo APT Silk Typhoon, Xu rappresenterebbe uno dei pochi casi documentati in cui un membro di un gruppo di cyber-spionaggio legato a uno Stato viene intercettato fisicamente sul suolo europeo e posto sotto custodia. La dimensione globale della minaccia, la sofisticazione tecnica degli strumenti usati e la scelta degli obiettivi rendono questo episodio particolarmente significativo anche per il contesto europeo, dimostrando che la guerra cibernetica non si combatte solo online, ma può finire anche dentro le aule di tribunale.
Commenti
Posta un commento