Redazione RHC : 29 Marzo 2025 08:16
Il gruppo Hellcat si ritrova al centro delle indagini di KELA, che ha rivelato le vere identità di due personaggi chiave, “Rey” e “Pryx”.
Originariamente il gruppo era noto come ICA Group, ma verso la fine del 2024 operava con il nuovo marchio Hellcat, dimostrando un elevato livello di coordinamento e aggressività. Il gruppo ha acquisito notorietà per attacchi di alto profilo come Schneider Elettric, Telefonica e Orange Romania.
Rey ha iniziato la sua carriera con il nome di “Hikki-Chan” sul forum BreachForums, dove pubblicava presunte fughe di notizie esclusive, alcune delle quali si sono poi rivelate essere delle rivendite di vecchi dati. Nonostante la sua reputazione danneggiata, Rey continuò le sue attività sotto un nuovo soprannome e divenne l’amministratore di Hellcat.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Rey ha utilizzato attivamente Telegram e il social network X per pubblicare fughe di notizie e criticare gli operatori delle telecomunicazioni, nonché per distribuire messaggi e strumenti di attacco informatico. Affermava di essere specializzato in crittografia e iniziò la sua carriera di hacker deturpando i siti web. Tra i suoi metodi, spiccano in particolare le seguenti tattiche: sfruttare i dati jira per accedere alle informazioni aziendali.
Utilizzando i dati provenienti dall’archivio di KELA, è stato possibile stabilire che Rey è stato infettato due volte dagli infostealer Redline e Vidar all’inizio del 2024.
Uno dei computer infetti sembra essere stato condiviso con i membri della sua famiglia. Questo è ciò che ha portato a stabilire un collegamento con un giovane di nome Saif, originario di Amman, in Giordania, la cui identità potrebbe corrispondere a quella di Rey. In precedenza aveva utilizzato gli alias “ggyaf” e “o5tdev“, partecipando attivamente ai forum RaidForums e BreachForums e dichiarando inoltre di essere affiliato ad Anonymous Palestine.
Il secondo membro di Hellcat è Pryx, che ha iniziato le sue attività nell’estate del 2024. È passato rapidamente dalle fughe di notizie dalle istituzioni educative agli attacchi ai sistemi governativi nei paesi del Golfo e dei Caraibi e, in seguito, alle aziende private. Inoltre, Pryx ha sviluppato il proprio ransomware basato su AES256 e ha scritto guide per forum, tra cui XSS. Gestiva anche i siti web pryx.pw e pryx.cc.
Secondo KELA, Pryx parlava arabo ed era coinvolto nel carding dal 2018. Ha rilasciato dichiarazioni offensive e provocatorie, tra cui una minaccia di attaccare l’Università di Harvard. Uno degli sviluppi di Pryx è stato un server stealer che sfrutta i servizi Tor per accedere segretamente ai sistemi infetti. Questa tattica ha consentito all’aggressore di ridurre al minimo le tracce ed evitare di essere scoperto, trasmettendo i dati al proprio server senza connessioni in uscita attive.
L’analisi tecnica di uno degli strumenti malware Pryx ha portato al dominio pato.pw, precedentemente posizionato come risorsa per i ricercatori di sicurezza. Tuttavia, le somiglianze nei contenuti e nel codice hanno permesso di collegare direttamente il sito a Pryx. Il sito ospitava guide e istruzioni, i cui contenuti apparivano poi sui forum sotto il suo nickname. Sono stati trovati anche repository GitHub e indirizzi email che corrispondevano ai dati di Telegram e di altre fonti, indicando una persona di nome Adem, che vive negli Emirati Arabi Uniti.
Un’analisi più approfondita ha rivelato la connessione di Pryx con un altro pirata informatico — WeedSec. Tramite Telegram siamo riusciti a trovare account, corrispondenza con un altro amministratore di BlackForums e partite che utilizzavano gli stessi dati di accesso. È stato anche confermato che questa persona aveva utilizzato il nome Adem in altri contesti, rafforzando ulteriormente il collegamento tra Pryx e la persona reale.
Nonostante il loro progresso tecnologico e la loro aggressività, entrambi i membri di Hellcat alla fine sono rimasti vittime degli stessi infostealer su cui facevano affidamento per le loro attività di criminalità informatica. Ciò ha permesso ai ricercatori di stabilire connessioni chiave e forse avvicinarsi alla de-anonimizzazione di uno dei gruppi di hacker più importanti degli ultimi anni.
RedazioneSarebbe fantastico avere un agente AI capace di analizzare automaticamente il codice dei nostri progetti, individuare i bug di sicurezza, generare la correzione e pubblicarla subito in produzione. Epp...
La disillusione nei confronti degli incontri online spinge sempre più le donne a cercare intimità emotiva nel mondo virtuale. Sempre più donne si rivolgono all’intelligenza artificiale, ovvero ai...
Una falla critica di 13 anni, nota come RediShell, presente in Redis, permette l’esecuzione di codice remoto (RCE) e offre agli aggressori la possibilità di acquisire il pieno controllo del sistema...
Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...
Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...
