Grundlage des Verfahrens ist eine im vergangenen Jahr vorgestellte Anklageschrift mit neun Punkten. Darin beschuldigt das US-Justizministerium Xu und seinen Mitangeklagten Zhang Yu, zwischen Februar 2020 und Juni 2021 an Computereinbrüchen beteiligt gewesen zu sein – darunter die „wahllose HAFNIUM-Einbruchskampagne, die weltweit Tausende Computer kompromittierte, auch in den Vereinigten Staaten".
Später im Jahr 2021 sollen Xu und weitere Personen maßgeblich an den Angriffen auf Microsoft-Exchange-Server beteiligt gewesen sein, die allgemein als Hafnium-Angriffe bezeichnet werden. Nach Darstellung der Staatsanwaltschaft handelte Xu im Auftrag der Geheimdienste Ministry of State Security (MSS) und Shanghai State Security Bureau (SSSB).
Laut Gerichtsunterlagen nahmen Xu und weitere Hacker US-Universitäten sowie Immunologen und Virologen ins Visier, die zu COVID-19-Impfstoffen, Behandlung und Tests forschten. Sie sollen an Führungsoffiziere des SSSB Bericht erstattet haben – in einem Fall bestätigte Xu demnach, dass er „das Netzwerk einer Forschungsuniversität im südlichen Gerichtsbezirk von Texas kompromittiert" habe.
Den Unterlagen zufolge war Xu stark in Cyberangriffe der Gruppe Hafnium eingebunden, die auch unter dem Namen Silk Typhoon bekannt ist. Die Gruppe nimmt seit Jahren US-Regierungsbehörden und andere große Organisationen ins Visier.
Das Justizministerium hatte einen Haftbefehl gegen Xu zunächst im November 2023 im südlichen Gerichtsbezirk von Texas beantragt. Den US-Haftbefehl mit den Vorwürfen Überweisungsbetrug, schwerer Identitätsdiebstahl und unbefugter Zugriff auf geschützte Computer stellten die Behörden im vergangenen Jahr aus.
„Über HAFNIUM hat die Kommunistische Partei Chinas mehr als 60.000 US-Einrichtungen ins Visier genommen und mehr als 12.700 erfolgreich angegriffen, um sensible Informationen zu stehlen", erklärte Brett Leatherman, stellvertretender Leiter der Cyberabteilung des FBI, im vergangenen Jahr.
Xus mutmaßlicher Mitverschwörer Zhang Yu ist weiterhin auf freiem Fuß.