Nach Angaben der US-Justiz war Xu Zewei zum Zeitpunkt der Angriffe bei einem Unternehmen namens Shanghai Powerock Network Co. Ltd. beschäftigt. Das Justizministerium (DoJ) bezeichnet Powerock als eine von vielen „ermöglichenden“ Firmen in China, die Hackeroperationen im Auftrag der Regierung durchführen.
Die Vorwürfe gliedern sich in zwei Phasen. Zu Beginn des Jahres 2020 sollen Xu und seine Mitverschwörer US-amerikanische Universitäten sowie Immunologen und Virologen angegriffen haben, die zu Impfstoffen, Behandlung und Tests im Zusammenhang mit COVID-19 forschten. Ab Ende 2020 sollen sie dann bestimmte Schwachstellen im Microsoft Exchange Server ausgenutzt haben – jenem weitverbreiteten Microsoft-Produkt zum Versenden, Empfangen und Speichern von E-Mails.
Bei einem Teil dieser Angriffe kamen damalige Zero-Day-Lücken in Microsoft Exchange Server zum Einsatz. Microsoft verfolgte diese Aktivität unter dem Namen Hafnium. Die Angreifer drangen in ihre Ziele ein und installierten Web-Shells zur Fernverwaltung der kompromittierten Systeme.
Xu wurde mit neun Anklagepunkten belegt: Überweisungsbetrug, Verschwörung zur Beschädigung geschützter Computer und zum unbefugten Beschaffen von Informationen daraus sowie schwerer Identitätsdiebstahl. Die Taten soll er gemeinsam mit Zhang Yu unter der Leitung des Shanghai State Security Bureau begangen haben, das dem Ministerium für Staatssicherheit untersteht.
Der Angeklagte bestreitet die Vorwürfe wiederholt. Er habe mit den staatlichen chinesischen Hackeroperationen nichts zu tun, seine Festnahme beruhe auf einer Verwechslung. Festgenommen wurde er, als er sich mit seiner Frau im Urlaub in Mailand aufhielt. Gegenüber TechCrunch erklärte Xus Anwalt, sein Mandant habe sich bei einer Anhörung am Montag in allen Anklagepunkten für nicht schuldig bekannt. Sein mutmaßlicher Mitangeklagter Zhang Yu ist weiterhin auf freiem Fuß.