Ein chinesischer Staatsbürger, den US-Behörden als mutmassliches Mitglied der staatlich gesteuerten Hackergruppe Silk Typhoon einstufen, ist aus Italien in die USA ausgeliefert worden. Dem 34-jährigen Xu Zewei werden umfangreiche Cyberangriffe auf US-Universitäten und staatliche Stellen zur Last gelegt, darunter Versuche, vertrauliche Informationen zur Entwicklung von COVID-19-Impfstoffen und -Tests zu stehlen sowie die systematische Ausnutzung von Schwachstellen in Microsoft Exchange Server.
US-Anklage gegen Xu Zewei: Cyberespionage, Wire Fraud und Identitaetsdiebstahl
Nach Angaben des US-Justizministeriums (Department of Justice, DoJ) wurde Xu im Juli 2025 von italienischen Behörden festgenommen und anschliessend an die USA ausgeliefert. Die Anklage umfasst neun Faelle von „wire fraud“ (Betrug unter Nutzung elektronischer Kommunikationsmittel), Verschwoerung zum unbefugten Zugriff auf geschuetzte Computersysteme und deren Schaedigungen sowie erschwerter Identitaetsdiebstahl. Solche Konstrukte sind in Cyberespionage-Verfahren ueblich, weil sie konkrete, strafrechtlich greifbare Tatbestaende abbilden, auch wenn die politischen Hintergruende komplex sind.
Die Ermittler gehen davon aus, dass Xu nicht allein gehandelt hat. Gemeinsam mit einem weiteren chinesischen Staatsbürger, Zhang Yu, soll er unter Anleitung des Shanghai State Security Bureau (SSSB) agiert haben, einer regionalen Einheit des chinesischen Ministeriums fuer Staatssicherheit (MSS). Das SSSB wird in der Anklage als Auftraggeber fuer gezielte Cyberoperationen gegen auslaendische Einrichtungen beschrieben. Zhang Yu wird weiterhin von US-Behörden gesucht. Xu bestreitet hingegen jede Beteiligung und spricht von einer Verwechslung.
Silk Typhoon, Hafnium und Microsoft-Exchange-Exploits
„Enabling Companies“ als verlängerter Arm des Geheimdienstes
Zur Tatzeit arbeitete Xu laut Anklage bei Shanghai Powerock Network Co. Ltd.. Das DoJ ordnet Powerock einer Gruppe sogenannter „enabling companies“ zu – formal privatwirtschaftlichen IT-Firmen in China, die tatsaechlich eng mit Sicherheitsbehörden kooperieren. Diese Struktur erlaubt es staatlichen Stellen, Cyberoperationen auszulagern, Attribution zu erschweren und im Konfliktfall eine gewisse Abstreitbarkeit zu wahren. Aehnliche Modelle wurden bereits in mehreren Berichten westlicher Geheimdienste und Sicherheitsforscher zu chinesischen APT-Gruppen beschrieben.
Zero-Day-Luecken in Microsoft Exchange und die Hafnium-Kampagne
Ein Schwerpunkt der Vorwuerfe betrifft Angriffe auf Microsoft Exchange Server ueber bis dahin unbekannte Zero-Day-Schwachstellen. Unter einer Zero-Day-Luecke versteht man eine Sicherheitsluecke, fuer die noch kein Patch veroeffentlicht wurde. Angreifer koennen dadurch Server kompromittieren, lange bevor Administratoren ueberhaupt wissen, dass eine Gefahr besteht. In diesem Fall sollen die Angreifer Exchange-Server ohne Authentifizierung ueber das Internet uebernommen und dort Webshells installiert haben – kleine Skripte, die wie eine versteckte Fernbedienung fuer das System funktionieren.
Microsoft fuehrte diese Aktivitaeten in seinen Analysen einem chinesischsprachigen Bedrohungscluster mit dem Namen Hafnium zu. Sicherheitsforscher und Behörden wie die US-CISA und das deutsche BSI berichteten 2021, dass durch die massenhafte Ausnutzung der Exchange-Luecken weltweit zehntausende Organisationen betroffen waren – von kleinen Unternehmen bis hin zu Behoerden und Forschungseinrichtungen. Die Hafnium-Kampagne gilt bis heute als eines der praegendsten Beispiele dafuer, wie schnell Zero-Day-Exploits von gezielter Spionage zu einer globalen Massenkompromittierung eskalieren koennen.
Ziele der Angriffe: Universitaeten, Forschung und COVID-19-Daten
Bereits Anfang 2020 sollen Xu und seine mutmasslichen Mittaeter laut Anklage US-Universitaeten, Immunologen und Virologen ins Visier genommen haben, die an Impfstoffen, Therapien und Testverfahren fuer COVID-19 arbeiteten. Angegriffen wurden Mailserver, Forschungssysteme und Accounts von Forschenden, mit dem Ziel, Zugang zu Ergebnissen klinischer Studien, interner Kommunikation und geistigem Eigentum zu erlangen.
Dieser Fokus auf medizinische und pharmazeutische Einrichtungen passt zu einem internationalen Muster: Sicherheitsbehörden in den USA, Grossbritannien und der EU warnten waehrend der Pandemie wiederholt vor staatlich unterstuetzten Gruppen aus China, Russland, Iran und Nordkorea, die gezielt Impfstoff- und Biotech-Forschung ausspionierten. Es ging dabei weniger um kurzfristigen finanziellen Gewinn, sondern um strategische Vorteile bei kritischen Technologien und Verhandlungsmacht in globalen Krisen.
Rechtliche Dimension und Bedeutung der Auslieferung
Xu Zewei weist alle Vorwuerfe zurueck und erklaert, er sei zum Zeitpunkt seiner Festnahme lediglich als Tourist mit seiner Ehefrau in Mailand gewesen. Beim ersten Erscheinen vor einem US-Gericht plädierte er auf nicht schuldig in allen Anklagepunkten. Bis zu einer rechtskraeftigen Verurteilung gilt die Unschuldsvermutung. Das Gericht muss nun die vorgelegten digitalen Beweise – etwa Logdateien, forensische Artefakte, Netzwerk-Metadaten und technische Indikatoren einer Kompromittierung – kritisch wuerdigen.
Die Auslieferung aus Italien verdeutlicht zugleich das wachsende internationale Zusammenwirken der Strafverfolgung bei Cybercrime und Cyberespionage. Auch wenn viele Cyberangriffe grenzueberschreitend und politisch sensibel sind, steigt die Bereitschaft von Staaten, mutmassliche Taeter festzunehmen und auszuliefern, sofern die rechtlichen Voraussetzungen erfuellt sind. Dies erhoeht das Risiko fuer einzelne Akteure – auch dann, wenn sie im Auftrag staatlicher Stellen handeln.
Lehren fuer Organisationen: Schutz vor APT-Gruppen wie Silk Typhoon und Hafnium
Der Fall Silk Typhoon zeigt, dass Forschungseinrichtungen, Hochschulen, Behoerden und Betreiber kritischer Infrastrukturen zu den bevorzugten Zielen staatlich unterstuetzter Hackergruppen gehoeren. Organisationen, die mit sensiblen Daten und geistigem Eigentum arbeiten, muessen davon ausgehen, frueher oder spaeter in den Fokus professioneller Angreifer zu geraten – ungeachtet ihrer Groesse.
Zu den zentralen technischen und organisatorischen Massnahmen gehoeren:
– Konsequenten Patch- und Vulnerability-Management-Prozess etablieren. Kritische Systeme wie Exchange-Server sollten engmaschig ueberwacht und Sicherheitsupdates priorisiert eingespielt werden. In Hafnium-aehnlichen Szenarien entscheiden oft wenige Tage ueber Kompromittierung oder erfolgreiche Abwehr.
– Netzwerksegmentierung und Prinzip der geringsten Privilegien umsetzen. Ein kompromittierter Mailserver darf nicht automatisch den Weg zum gesamten Netz oeffnen. Strikte Segmentierung, gehärtete Admin-Konten und rollenbasierte Zugriffsrechte begrenzen die Bewegungsfreiheit von Angreifern.
– Erweitertes Monitoring, Protokollierung und EDR/XDR einsetzen. Zentrale Log-Analysen, Security-Information-and-Event-Management (SIEM) sowie Endpoint- und Extended-Detection-and-Response-Loesungen helfen, Webshells, anomale Anmeldeversuche und Laterale Bewegung fruehzeitig zu erkennen.
– Speziellen Schutz der E-Mail-Infrastruktur sicherstellen. Wo moeglich sollten Administrations- und Webzugriffe auf Exchange nur ueber VPN und mit starker Multi-Faktor-Authentifizierung erfolgen. Nicht benoetigte Dienste sind zu deaktivieren, Standardkonfigurationen zu haerten.
– Sicherheit von Dienstleistern und Forschungspartnern pruefen. Da APT-Gruppen haeufig ueber „enabling companies“ oder schwächer geschuetzte Partnernetze angreifen, sollten Lieferkettenrisiken regelmaessig bewertet, Zugriffe Dritter minimiert und vertraglich geregelt werden.
Der Fall um den mutmasslichen Silk-Typhoon-Akteur unterstreicht, dass Cyberresilienz kein einmaliges Projekt, sondern ein dauerhafter Prozess ist. Organisationen, die Exchange oder andere kritische Kollaborationsplattformen einsetzen, sollten ihre Schutzmassnahmen, Incident-Response-Pläne und Backup-Strategien zeitnah auf den Prüfstand stellen – und sich aktiv ueber Warnmeldungen von CERTs, BSI und Herstellern informieren. Wer Sicherheitsluecken schnell schliesst, Angriffsoberflaechen reduziert und Sicherheitsvorfälle professionell managen kann, senkt das Risiko, zur naechsten Schlagzeile in einem Fall wie Silk Typhoon oder Hafnium zu werden.
