Un sofisticado ciberataque orquestado por los piratas informáticos patrocinados por el estado chino ha expuesto vulnerabilidades en la infraestructura global de ciberseguridad, dirigida a la investigación crítica de las universidades estadounidenses y explotando los servidores de intercambio de Microsoft en todo el mundo.
El Departamento de Justicia anunció el arresto de una figura clave en esta operación, marcando un hito significativo en la lucha contra el espionaje cibernético patrocinado por el estado.
Xu Zewei, un ciudadano chino de 33 años, fue arrestado en Milán, Italia, el 3 de julio de 2025, luego de una solicitud de extradición estadounidense.
El arresto representa una de las primeras capturas exitosas de los piratas informáticos asociados con los servicios de inteligencia chinos por parte del FBI. Xu enfrenta una acusación federal de nueve cargos junto con su coacusado Zhang Yu, quien permanece en general.
Los cargos incluyen conspiración para cometer fraude al cable, obtener información por acceso no autorizado a computadoras protegidas, daños intencionales a computadoras protegidas y robo de identidad agravado. Si es declarado culpable de todos los cargos, Xu podría enfrentar hasta 77 años de prisión.
La campaña de robo de investigación de Covid-19
Entre febrero de 2020 y junio de 2021, Xu y sus asociados realizaron una campaña sistemática para robar la investigación crítica de Covid-19 de las instituciones estadounidenses.
Operando bajo la dirección del Ministerio de Seguridad del Estado de China (MSS) y su Oficina de Seguridad del Estado de Shanghai (SSSB), los piratas informáticos atacaron a las universidades, inmunólogos y virólogos estadounidenses que participaron en el desarrollo de vacunas, tratamientos y protocolos de prueba.
Los documentos judiciales revelan que el 19 de febrero de 2020, Xu confirmó a su manejador SSSB que había comprometido con éxito la red de una universidad de investigación en el distrito sur de Texas.
Tres días después, el oficial de SSSB ordenó a Xu que se dirigiera específicamente a cuentas de correo electrónico que pertenecen a virólogos e inmunólogos que realizan investigaciones Covid-19. Posteriormente, Xu confirmó que había adquirido el contenido de los buzones de estos investigadores.
La campaña de Hafnium
La operación de ciber espionaje se expandió drásticamente a fines de 2020 cuando Xu y sus conspiradores comenzaron a explotar vulnerabilidades de día cero en Microsoft Exchange Server.
Esta campaña masiva, conocida públicamente como “Hafnium”, comprometió miles de computadoras en todo el mundo.
El ataque aprovechó cuatro vulnerabilidades críticas (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065) que permitieron a los atacantes obtener acceso persistente a los sistemas de víctimas.
El grupo Hafnium se dirigió con éxito a más de 60,000 entidades estadounidenses, comprometiendo más de 12,700 organizaciones. Las víctimas incluyeron universidades, firmas de abogados, contratistas de defensa y agencias gubernamentales.
Los atacantes instalaron conchas web en servidores comprometidos, proporcionándoles capacidades de acceso remoto para el robo de datos y el movimiento lateral dentro de las redes.
La campaña de explotación de Microsoft Exchange Server tuvo un alcance global sin precedentes. Para marzo de 2021, se estimó que aproximadamente 250,000 servidores en todo el mundo habían sido víctimas de los ataques.
La Autoridad Bancaria Europea, el Parlamento Noruego y la Comisión de Chile para el mercado financiero se encontraban entre las víctimas de alto perfil.
Microsoft lanzó actualizaciones de seguridad de emergencia el 2 de marzo de 2021, pero el daño ya era extenso.
El FBI y la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) emitieron una organización de advertencia de asesoramiento conjunta sobre el compromiso.
En abril de 2021, el Departamento de Justicia realizó una operación autorizada por el tribunal para eliminar los proyectiles web de cientos de computadoras vulnerables en los Estados Unidos.
Operaciones patrocinadas por el estado
La investigación reveló Ese Xu operó como un hacker de contrato para Shanghai Powerock Network Co. Ltd., descrito por los fiscales como una de las muchas compañías “habilitantes” que realizaron operaciones de piratería para el gobierno chino.
Esta red de empresas y contratistas privados proporcionó a Beijing una negación plausible mientras realizaba extensas campañas de espionaje cibernético.
El MSS y SSSB, los principales servicios de inteligencia de China, supervisaron y coordinaron directamente estas operaciones.
La Oficina de Seguridad del Estado de Shanghai, una de las unidades más agresivas e internacionalmente activas del MSS, mantiene una extensa red de compañías frontales y realiza operaciones de espionaje globales.
La campaña Hafnium provocó una respuesta internacional coordinada.
En julio de 2021, los Estados Unidos, junto con la Unión Europea, el Reino Unido, Australia, Canadá, Nueva Zelanda, Japón y la OTAN, atribuyeron formalmente los ataques al gobierno chino y condenaron el papel de la RPC en las actividades cibernéticas maliciosas.
El arresto de Xu Zewei demuestra los continuos esfuerzos de la policía internacional para responsabilizar a los piratas informáticos patrocinados por el estado.
“Este arresto subraya el compromiso paciente e incansable de los Estados Unidos para perseguir a los piratas informáticos que buscan robar información perteneciente a empresas y universidades estadounidenses”, dijo John A. Eisenberg, Fiscal General Asistente de la División de Seguridad Nacional.
Desde entonces, el Grupo Hafnium ha evolucionado en lo que los investigadores de seguridad ahora rastrean como “Typhoon de Silk”, que continúa atacando a grandes corporaciones y entidades gubernamentales.
El grupo ha adaptado sus tácticas para explotar las soluciones de TI comunes, incluidas las herramientas de administración remota y las aplicaciones en la nube.
El caso destaca el desafío más amplio planteado por las operaciones cibernéticas chinas, que según funcionarios estadounidenses exceden los de todos los demás gobiernos extranjeros combinados.
El anuncio del Departamento de Justicia representa parte de una ofensiva más amplia contra el ciber espionaje chino, con múltiples casos recientes dirigidos a personas acusadas de trabajar por los servicios de inteligencia de Beijing.
Mientras Xu espera procedimientos de extradición en Italia, el caso sirve como un marcado recordatorio de la amenaza persistente que representa las operaciones cibernéticas patrocinadas por el estado y la importancia crítica de la cooperación internacional en la combinación de estos sofisticados ataques contra la infraestructura global de ciberseguridad.
Guía de precios de MSSP: cómo cortar el ruido y el costo oculto-> Obtener su guía gratuita
