Silk Typhoon nel mirino: arrestato in Italia un hacker cinese accusato di cyber-spionaggio

Silk Typhoon nel mirino: arrestato in Italia un hacker cinese accusato di cyber-spionaggio

A cura di:Redazione Ore

Un hacker cinese di 33 anni è stato arrestato il 3 luglio all’aeroporto di Milano Malpensa in esecuzione di un mandato internazionale spiccato dalle autorità statunitensi. L’uomo, identificato come Xu Zewei, è accusato negli Stati Uniti di far parte di un gruppo di cyber-spionaggio legato al governo cinese e noto come Silk Typhoon. Questa notizia ha avuto vasta risonanza per il suo collegamento con la criminalità informatica internazionale, evidenziando come le campagne di cyber-spionaggio state-sponsored rappresentino una minaccia globale di primo piano.

Arresto a Malpensa e accuse di cyber-spionaggio

Le autorità italiane, allertate da una richiesta statunitense, hanno bloccato Xu Zewei appena sbarcato da un volo proveniente da Shanghai, procedendo all’arresto verso le ore 11 locali del 3 luglio. L’FBI lo accusa di aver partecipato a una vasta campagna di intrusioni informatiche (“large-scale cyber intrusion campaign”) orchestrata da hacker al soldo di Pechino. In particolare, secondo documenti giudiziari americani, Xu avrebbe infiltrato insieme ad altri attori malevoli i sistemi informatici di università, centri di ricerca e specialisti in virologia e immunologia negli Stati Uniti, prendendo di mira soprattutto i progetti di ricerca sui vaccini anti-COVID-19 sin dai primi mesi della pandemia. L’operazione mirava a rubare dati sensibili sia sulle ricerche vaccinali sia su politiche governative statunitensi riservate.

Secondo le indagini, gli attori responsabili hanno cercato di identificare e ottenere illecitamente preziose proprietà intellettuali e dati sanitari pubblici relativi a vaccini, trattamenti e test legati alla ricerca sul COVID-19.

Le accuse formali emesse dal Tribunale Distrettuale degli Stati Uniti per il Distretto Sud del Texas (corte federale di Houston) includono frode telematica, cospirazione per commettere frode telematica, accesso non autorizzato a sistemi informatici protetti e furto di identità aggravato. Tali reati, se provati, comportano pene detentive variabili da 2 fino a 20 anni di carcere. Dopo l’arresto, il sospetto è stato tradotto nel carcere di Busto Arsizio (Varese) in custodia cautelare, con il sequestro del suo telefono cellulare a fini investigativi.

Il 4 luglio un giudice della Corte d’Appello di Milano ha convalidato l’arresto, rilevando il concreto pericolo di fuga dato che Xu non aveva legami con l’Italia. Il procedimento di estradizione verso gli USA è già stato avviato e prevede un’udienza di identificazione e dichiarazione sull’eventuale consenso all’estradizione.

La difesa di Xu – che si è presentato come un tecnico informatico in vacanza, impiegato presso un’azienda di Shanghai – ha annunciato opposizione all’estradizione, contestando le accuse e sottolineando l’assenza di precedenti penali a suo carico in Italia.

Il gruppo Silk Typhoon e la campagna “Hafnium”

Silk Typhoon è il nome in codice attribuito da Microsoft (e ripreso da varie fonti) a un noto gruppo di hacker cinesi sponsorizzati dallo Stato, attivo in operazioni di spionaggio informatico su scala globale. Questo collettivo è conosciuto anche con designazioni alternative nella comunità della sicurezza, tra cui APT27, Emissary Panda, Bronze Union e altri nomi in codice storici.

Le attività di Silk Typhoon sono caratterizzate da attacchi sofisticati rivolti a bersagli strategici di alto profilo, con l’obiettivo di sottrarre informazioni di valore per il governo di Pechino. Tra le operazioni attribuite a Silk Typhoon figura la campagna del 2020 contro istituti di ricerca biomedica negli Stati Uniti, la stessa per cui è ricercato Xu. In quel frangente, gli hacker puntarono a trafugare dati sulla ricerca dei vaccini anti-Covid presso università americane (come l’Università del Texas) e altri enti sanitari coinvolti nella risposta alla pandemia.

Tale campagna è stata denominata “Hafnium” in ambito investigativo e ha visto l’impiego di tecniche avanzate per penetrare migliaia di sistemi in tutto il mondo. Secondo Microsoft e ricercatori di sicurezza, il gruppo ha continuato ad evolvere le proprie tattiche negli anni successivi, spostando il focus verso intrusioni nelle supply chain IT e servizi cloud al fine di compromettere reti di fornitori e clienti downstream.

Degno di nota è anche il coinvolgimento di Silk Typhoon in recenti attacchi contro organismi governativi statunitensi: ad esempio, è stato segnalato il breach del Dipartimento del Tesoro USA (in particolare l’Office of Foreign Assets Control, OFAC) sul finire del 2024, con esfiltrazione di dati sensibili riguardanti sanzioni e investimenti esteri. Documenti giudiziari statunitensi confermano che membri affiliati a questo gruppo hanno violato reti governative di alto livello – l’hack al Tesoro è costato loro sanzioni da parte del Dipartimento del Tesoro stesso – e hanno preso di mira anche ministeri degli esteri di Paesi asiatici, aziende tecnologiche, contractor della difesa e ONG, nel quadro di un’ampia strategia di raccolta illecita di informazioni a beneficio di Pechino.

Silk Typhoon opera tipicamente come braccio armato informatico dei servizi di intelligence cinesi (Ministero della Sicurezza di Stato – MSS – e Ministero della Pubblica Sicurezza – MPS). Secondo il Dipartimento di Giustizia USA, tali agenzie hanno finanziato e diretto reti di hacker privati e aziende di sicurezza fittizie (come la società i-Soon coinvolta in altri casi) per condurre intrusioni informatiche in modo da offuscare il coinvolgimento diretto del governo cinese.

Questo modello “hackers-for-hire” protetto dalle autorità cinesi consente ai gruppi come Silk Typhoon di agire quasi impunemente, monetizzando i dati rubati attraverso broker e mercati clandestini, oltre a servire gli interessi strategici statali. Silk Typhoon, in particolare, risulta aver impiegato sia exploit zero-day su sistemi esposti (come server e VPN) sia tecniche di social engineering (es. password spraying), e più di recente l’abuso di API keys compromesse di fornitori IT, per ottenere e mantenere l’accesso non autorizzato a reti bersaglio. La combinazione di capacità tecniche avanzate e sostegno statale rende questo gruppo uno degli attori di minaccia più pericolosi nello scenario della cyber-sicurezza globale.

Implicazioni internazionali e contrasto al cyber-crimine globale

L’arresto di Xu in Italia su richiesta degli Stati Uniti mette in evidenza la crescente cooperazione internazionale nel contrasto al cyber-crimine sponsorizzato da nazioni. Le accuse a carico del sospetto non riguardano un semplice hacker isolato, ma un’intera infrastruttura criminale sostenuta da un apparato statale: ciò configura un caso di criminalità informatica internazionale che coinvolge direttamente questioni di sicurezza nazionale e diplomazia.

Proprio per questo, la vicenda ha suscitato ampia attenzione mediatica e preoccupazione nella comunità cyber: è un raro esempio di un presunto hacker statale cinese fermato al di fuori dei confini cinesi e potenzialmente consegnato alla giustizia occidentale. Le autorità statunitensi da tempo perseguono attivamente membri di gruppi APT cinesi come Silk Typhoon, ricorrendo a incriminazioni formali, sanzioni economiche e persino taglie internazionali.

Emblematico è il caso recente di Yin Kecheng e Zhou Shuai, due altri hacker cinesi affiliati a Silk Typhoon/APT27 accusati di attacchi su larga scala: il Dipartimento di Stato USA ha annunciato ricompense fino a 2 milioni di dollari ciascuno per informazioni che portino al loro arresto. Entrambi sono stati incriminati in contumacia a marzo 2025 per aver condotto, su commissione dei servizi cinesi, intrusioni in reti governative (incluso il già citato hack al Tesoro) e furti di dati ai danni di oltre 100 entità tra aziende e istituzioni occidentali.

Queste iniziative mostrano la determinazione delle forze di law enforcement nel smascherare e perseguire i cyber-criminali sponsorizzati da Stati: “Continueremo a utilizzare tutti gli strumenti disponibili per identificarvi, incriminarvi ed esporre al mondo le vostre attività malevole”, ha dichiarato l’FBI rivolgendosi agli hacker di matrice statale cinese.

Dal punto di vista geopolitico, vicende come l’arresto di Xu Zewei rappresentano anche un banco di prova per gli equilibri diplomatici. La Cina tradizionalmente nega il coinvolgimento in operazioni di hacking e potrebbe vedere l’eventuale estradizione e processo di un proprio cittadino all’estero come un affronto politico. In passato, reazioni ritorsive o tensioni diplomatiche non sono mancate in casi analoghi di arresti di funzionari o hacker cinesi e russi oltreoceano.

Tuttavia, per la comunità dei professionisti della cybersecurity, ogni successo nel portare alla sbarra autori di attacchi statali invia un chiaro segnale dissuasivo. L’auspicio degli esperti è che un maggiore coordinamento internazionale – come dimostrato dalla collaborazione tra FBI, forze di polizia italiane e altre agenzie in questo caso – contribuisca a mitigare la minaccia persistente degli attacchi informatici avanzati e a colmare quella sensazione di impunità che finora ha accompagnato molti gruppi APT legati a governi ostili.

Fonti

Condividi sui Social Network:

Ultimi Articoli