1. Inserimento di "Stringhe Esca"
Un attaccante può inserire all'interno del codice del malware dei commenti, percorsi di file (PDB paths) o metadati scritti appositamente in una lingua specifica (ad esempio il cinese semplificato) o contenenti riferimenti a fusi orari specifici. Per un analista forense superficiale, queste sono "prove", ma per un esperto sono potenziali esche.
2. L'uso di Tool "Off-the-Shelf"
L'accusa menziona spesso l'uso di malware custom attribuiti a gruppi specifici. Tuttavia, la realtà tecnica è diversa: molti gruppi APT utilizzano strumenti di amministrazione remota (RAT) o framework di post-exploitation (come Cobalt Strike o Silver) che sono ampiamente disponibili.
Se un attacco viene eseguito usando strumenti comuni, l'attribuzione basata sul software diventa pura speculazione.
3. Proxy a cascata e "Honeypot" d'identità
È tecnicamente possibile che la connessione utilizzata per l'attacco sia transitata attraverso un server o un dispositivo appartenente proprio a Zewei Xu, a sua insaputa. Se il suo computer fosse stato precedentemente compromesso e usato come "Hop Point" (punto di passaggio), i log delle aziende vittime punterebbero dritti al suo IP, pur essendo lui del tutto estraneo all'azione criminale.
Verso un processo basato su speculazioni?
Il rischio tecnico che sottolineiamo su Computermente è il seguente: nel diritto informatico americano, il concetto di "oltre ogni ragionevole dubbio" si scontra con la natura volatile del dato digitale. Senza una prova fisica (come il ritrovamento delle chiavi crittografiche private usate nell'attacco sui dispositivi personali di Xu), l'intero castello accusatorio poggia su correlazioni statistiche che la tecnologia può facilmente fabbricare.
Se Xu fosse davvero la "mente" descritta, avrebbe davvero lasciato tracce così evidenti da farsi rintracciare in un hotel di Milano?
O stiamo assistendo alla consegna di un uomo basata su log che chiunque, con le giuste competenze, avrebbe potuto manipolare?
La "Falla" Logica: Un Hacker di Stato non viaggia così
C'è un elemento che nessun log o pacchetto dati può smentire: la OPSEC (Operations Security).
Se Zewei Xu fosse realmente un asset strategico dell'intelligence cinese, parte di un'unità d'élite come APT41:
Protezione Diplomatica: Non verrebbe mai inviato in un paese NATO (come l'Italia) per scopi turistici o d'affari senza le dovute coperture, sapendo di avere un mandato dell'FBI pendente.
Dati Sensibili: Non avrebbe mai portato con sé hardware contenente tracce dei furti di dati.
Il Profilo: Gli hacker di Stato sono solitamente confinati entro i confini nazionali o protetti da passaporti di servizio.
Il fatto che Xu si trovasse a Milano come un comune cittadino suggerisce che possa essere un capro espiatorio, un tecnico freelance o semplicemente qualcuno i cui dati identificativi sono stati "presi in prestito" da attori ben più oscuri per firmare un attacco informatico.
