Die US-Justizministerium gab die Auslieferung des chinesischen Hackers Xu Zewei aus Mailand bekannt. Der 2025 in Italien verhaftete Verdächtige soll als Vertragshacker für das chinesische Ministerium für Staatssicherheit tätig gewesen sein und wird mit der Hacker-Gruppe Silk Typhoon (auch bekannt als Hafnium) in Verbindung gebracht.
Die Anklage wirft Xu vor, zwischen Februar 2020 und Juni 2021 eine Serie koordinierter Cyberangriffe durchgeführt zu haben. Besonders brisant: Die Attacken richteten sich gegen Organisationen, die an COVID-19-Forschung arbeiten. Die Angreifer sollen gezielt nach Daten zu Impfstoffen, Behandlungsmethoden und Testverfahren gesucht haben.
Eine zentrale Rolle spielten Zero-Day-Exploits gegen Microsoft Exchange Server, die Ende 2020 massiv ausgenutzt wurden. Mit diesen Sicherheitslücken drangen die Angreifer in E-Mail-Server ein, platzierten sogenannte Web Shells zur Persistent-Zugriff und konnten laterale Bewegungen innerhalb von Netzwerken durchführen. Tausende Organisationen weltweit waren betroffen, bevor Patches zur Verfügung standen.
Besonders auffällig ist die organisatorische Struktur: Xu soll nach Angaben von Prosecutoren für das Unternehmen Shanghai Powerock Network Co., Ltd. (Powerock) gearbeitet haben – eines von vielen Unternehmen, die als Fassaden für chinesische Hacking-Operationen fungieren. Direkt angewiesen wurde er durch Mitarbeiter des Shanghai State Security Bureau (SSSB), einer Abteilung des chinesischen MSS.
Die Auslieferung zeigt: Auch Auftraghacker können international verfolgt werden. Xu muss sich mehreren Anklagen wegen Computereinbruchs und Verschwörung stellen. Für deutsche Unternehmen mit kritischer Infrastruktur und E-Mail-Systemen ist der Fall ein Mahnung: Sichere Patchprozesse und Monitoring sind essentiell. Das BSI hatte bereits mehrfach vor Silk-Typhoon-Aktivitäten gewarnt.