Arrestato in Italia un Hacker di Silk Typhoon, l’APT che colpì le infrastrutture di Microsoft Exchange

Il 3 luglio, all’arrivo presso l’aeroporto di Malpensa, un uomo cinese di 33 anni è stato immediatamente fermato dalle autorità. Si è trattato di un mandato di cattura emesso dalle autorità degli Stati Uniti, nell’ambito di un’indagine condotta dall’Fbi.

L’uomo, probabilmente affiliato al gruppo Silk Typhoon è stato coinvolto in operazioni di spionaggio dal 2020. Si tratta di Xu Zewei, 33 anni, che svolge attività di tecnico per un’azienda di informatica, arrivato in Italia per le vacanze estive.

Silk Typhoon (HAFNIUM) è un gruppo National State Sponsored con sede in Cina. I principali obiettivi di Silk Typhoon sono le attività del settore sanitario, gli studi legali, gli istituti di istruzione superiore, gli appaltatori della difesa, think tank politici e organizzazioni non governative (ONG) con sede negli Stati Uniti, in Australia, Giappone e Vietnam.

Silk Typhoon si concentra sulla ricognizione e sulla raccolta dei dati cercando in siti Web aperti eventuali dati persi sull’infrastruttura colpita, oltre a usare strumenti come China Chopper e a sfruttare vulnerabilità zero-day. Il lavoro più conosciuto di Silk Typhoon riguarda un attacco a Microsoft Exchange, durante il quale gli aggressori hanno rubato documenti sensibili relativi alla politica del governo degli Stati Uniti, agli appaltatori della difesa e altro ancora.

Inoltre si sospetta che Xu Zewei abbia preso parte ad attività di spionaggio che hanno consentito alla Cina di approvvigionare importanti informazioni sui vaccini anti-COVID. Per l’Fbi l’attività di spionaggio sarebbe stata effettuata dal 33enne (e dal team) per conto di autorità appartenenti al governo cinese anche se potrebbe trattarsi di uno scambio di persona dato il nome molto comune.

Il 4 luglio, la giudice Veronica Tallarida della quinta penale d’appello di Milano ha convalidato l’arresto e ha emesso la custodia cautelare in carcere (ora è detenuto a Busto Arsizio, provincia di Varese), dopo che il provvedimento degli Usa era stato eseguito il giorno prima, verso le 11, dalla Polizia a Malpensa.

Gli Stati Uniti lo accusano, come risulta dagli atti, di vari reati: frode telematica e furto di identità aggravato, punibili con un massimo di 5 anni di reclusione; associazione a delinquere finalizzata alla frode telematica, con una pena massima di 20 anni; accesso non autorizzato a computer protetti, che può essere punito con fino a 5 anni.

Esiste per il giudice un concreto rischio di evasione, considerando che l’uomo è recentemente arrivato in Italia tramite un volo proveniente da Shanghai e non sembra avere alcun legame stabile in Italia. L’udienza di domani mattina sarà limitata esclusivamente all'”identificazione personale e al possibile consenso all’estradizione.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research