Âgé de 33 ans et ressortissant chinois, Xu Zewei vient d'être arrêté à Milan en Italie, suite à une demande des États-Unis. Il est soupçonné d'être l'un des acteurs clés derrière une série de cyberattaques, avec en filigrane du cyberespionnage pour la Chine.
Un cyberespionnage en pleine pandémie mondiale
Dès février 2020, alors que le monde cherchait des réponses face au Covid-19, Xu Zewei et ses complices auraient pris pour cible des universités et des chercheurs américains, dans le but de dérober des informations sensibles sur les vaccins et les traitements.
Selon le département de la Justice des États-Unis, de telles opérations étaient directement pilotées par l'antenne de Shanghaï du ministère chinois de la sécurité de l'État (MSS). L'une des agences de renseignement les plus importantes de Chine.
« Alors que le monde entrait dans une pandémie, Xu Zewei et d'autres cyberacteurs travaillant pour la Chine ont ciblé les universités américaines pour voler des recherches révolutionnaires sur le Covid-19 », déclare un responsable du FBI.
Hafnium (Silk Typhoon) et ses milliers de victimes
Xu Zewei serait également l'un des cerveaux présumés de campagnes de cyberattaques sous l'égide du groupe Hafnium qui a été ultérieurement renommé Silk Typhoon. Ce groupe a exploité des vulnérabilités de sécurité 0-day dans Microsoft Exchange Server.
L'offensive a permis de compromettre plus de 60 000 entités aux États-Unis, réussissant à infiltrer plus de 12 700 d'entre elles pour y voler des données stratégiques. Des universités, mais aussi un cabinet d'avocats international, figurent parmi les victimes.
Les attaquants recherchaient activement des informations sur des décideurs politiques et des agences gouvernementales américaines spécifiques. Leurs termes de recherche comprenaient « sources chinoises », « MSS » et « Hong Kong ».
Un réseau de sous-traitants pour masquer Pékin
L'arrestation met en lumière l'appui d'un vaste réseau d'entreprises privées pour mener des opérations de cyberespionnage. Xu Zewei travaillait pour l'une d'elles, Shanghai Powerock Network Co. Ltd (Powerock). Une telle méthode permet au gouvernement chinois de masquer son implication, tout en profitant des informations volées.
« Malheureusement, l'impact de cette arrestation ne se fera pas sentir immédiatement. Plusieurs équipes composées de dizaines d'opérateurs vont continuer à mener des activités de cyberespionnage. Les sponsors gouvernementaux ne vont pas se laisser dissuader », commente John Hultquist, analyste en chef du Google Threat Intelligence Group.
Xu Zewei, qui encourt de lourdes peines de prison, a déclaré s'opposer à son extradition aux États-Unis, affirmant être victime d'une erreur de personne. Un complice présumé, Zhang Yu, est toujours en fuite et activement recherché par le FBI.
