司法部指出,被捕的中國公民徐澤偉(Xu Zewei,音譯)於7月3日在米蘭馬爾彭薩機場落網,美方早在2023年就針對他簽發逮捕令。與他同案的張宇(Zhang Yu,音譯)則仍在逃。兩人涉嫌在2020年2月至2021年6月間參與由中國國家安全部上海國安局主導的大規模駭客行動「HAFNIUM」,當時COVID-19疫情正在全球蔓延。
根據美方調查,徐男受僱於中國駭客公司上海帕沃洛克網絡有限公司(Powerock,暫譯),受中共指示,針對美國大學、研究機構等發動網攻,竊取具突破性的疫苗研發資料。後續更利用美國系統零日漏洞,深入入侵數萬台裝置,對象包含德州南區一所大學及跨國律師事務所。
美國聯邦調查局(FBI)指出,HAFNIUM組織總計對逾6萬個美國實體發動攻擊,波及超過1.2萬個目標。駭客還在系統中植入後門程式,蒐集與美國政策制定者有關的資訊,搜尋關鍵字包括「中國來源」、「國安部」與「香港」。
美國司法部強調,該案突顯中共長期透過私人企業與承包商進行駭客活動,藉以掩飾官方角色,盜取資料規模龐大,部分甚至與北京利益無關,卻可能流入第三方市場。徐澤偉目前面臨電信詐欺、身分盜用、共謀入侵電腦等多項重罪,雖透過律師否認指控,但美方將全力追訴到底。
