Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Gli Hacker di Hellcat traditi dai Loro Stessi Infostealer

Redazione RHC : 29 Marzo 2025 08:16

Il gruppo Hellcat si ritrova al centro delle indagini di KELA, che ha rivelato le vere identità di due personaggi chiave, “Rey” e “Pryx”.

Originariamente il gruppo era noto come ICA Group, ma verso la fine del 2024 operava con il nuovo marchio Hellcat, dimostrando un elevato livello di coordinamento e aggressività. Il gruppo ha acquisito notorietà per attacchi di alto profilo come Schneider Elettric, Telefonica e Orange Romania.

Rey ha iniziato la sua carriera con il nome di “Hikki-Chan” sul forum BreachForums, dove pubblicava presunte fughe di notizie esclusive, alcune delle quali si sono poi rivelate essere delle rivendite di vecchi dati. Nonostante la sua reputazione danneggiata, Rey continuò le sue attività sotto un nuovo soprannome e divenne l’amministratore di Hellcat.

Rey ha utilizzato attivamente Telegram e il social network X per pubblicare fughe di notizie e criticare gli operatori delle telecomunicazioni, nonché per distribuire messaggi e strumenti di attacco informatico. Affermava di essere specializzato in crittografia e iniziò la sua carriera di hacker deturpando i siti web. Tra i suoi metodi, spiccano in particolare le seguenti tattiche: sfruttare i dati jira per accedere alle informazioni aziendali.


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Utilizzando i dati provenienti dall’archivio di KELA, è stato possibile stabilire che Rey è stato infettato due volte dagli infostealer Redline e Vidar all’inizio del 2024.

Uno dei computer infetti sembra essere stato condiviso con i membri della sua famiglia. Questo è ciò che ha portato a stabilire un collegamento con un giovane di nome Saif, originario di Amman, in Giordania, la cui identità potrebbe corrispondere a quella di Rey. In precedenza aveva utilizzato gli alias “ggyaf” e “o5tdev“, partecipando attivamente ai forum RaidForums e BreachForums e dichiarando inoltre di essere affiliato ad Anonymous Palestine.

Il secondo membro di Hellcat è Pryx, che ha iniziato le sue attività nell’estate del 2024. È passato rapidamente dalle fughe di notizie dalle istituzioni educative agli attacchi ai sistemi governativi nei paesi del Golfo e dei Caraibi e, in seguito, alle aziende private. Inoltre, Pryx ha sviluppato il proprio ransomware basato su AES256 e ha scritto guide per forum, tra cui XSS. Gestiva anche i siti web pryx.pw e pryx.cc.

Secondo KELA, Pryx parlava arabo ed era coinvolto nel carding dal 2018. Ha rilasciato dichiarazioni offensive e provocatorie, tra cui una minaccia di attaccare l’Università di Harvard. Uno degli sviluppi di Pryx è stato un server stealer che sfrutta i servizi Tor per accedere segretamente ai sistemi infetti. Questa tattica ha consentito all’aggressore di ridurre al minimo le tracce ed evitare di essere scoperto, trasmettendo i dati al proprio server senza connessioni in uscita attive.

L’analisi tecnica di uno degli strumenti malware Pryx ha portato al dominio pato.pw, precedentemente posizionato come risorsa per i ricercatori di sicurezza. Tuttavia, le somiglianze nei contenuti e nel codice hanno permesso di collegare direttamente il sito a Pryx. Il sito ospitava guide e istruzioni, i cui contenuti apparivano poi sui forum sotto il suo nickname. Sono stati trovati anche repository GitHub e indirizzi email che corrispondevano ai dati di Telegram e di altre fonti, indicando una persona di nome Adem, che vive negli Emirati Arabi Uniti.

Un’analisi più approfondita ha rivelato la connessione di Pryx con un altro pirata informatico — WeedSec. Tramite Telegram siamo riusciti a trovare account, corrispondenza con un altro amministratore di BlackForums e partite che utilizzavano gli stessi dati di accesso. È stato anche confermato che questa persona aveva utilizzato il nome Adem in altri contesti, rafforzando ulteriormente il collegamento tra Pryx e la persona reale.

Nonostante il loro progresso tecnologico e la loro aggressività, entrambi i membri di Hellcat alla fine sono rimasti vittime degli stessi infostealer su cui facevano affidamento per le loro attività di criminalità informatica. Ciò ha permesso ai ricercatori di stabilire connessioni chiave e forse avvicinarsi alla de-anonimizzazione di uno dei gruppi di hacker più importanti degli ultimi anni.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

BitLocker sotto Attacco! Una nuova tecnica consente movimenti laterali eludendo i controlli
Di Redazione RHC - 04/08/2025

Attraverso la funzionalità Component Object Model (COM) di BitLocker, gli aggressori possono mettere in atto una tecnica innovativa di pivoting, finalizzata all’esecuzione di codice malevo...

14,5 miliardi di dollari rubati a LuBian! E’ il più grande furto di criptovaluta della storia
Di Redazione RHC - 04/08/2025

Nel dicembre 2020, il mining pool cinese LuBian, che all’epoca occupava quasi il 6% della capacità totale della rete Bitcoin, è stato vittima di un attacco la cui portata è stata...

Le Aziende Falliscono per il ransomware! Einhaus Group chiude, ed è un monito per tutti
Di Redazione RHC - 04/08/2025

Ne avevamo parlato con un articolo sul tema diverso tempo fa redatto da Massimiliano Brolli. Oggi la sicurezza informatica non è più un’opzione né un valore accessorio: è un...

Scarafaggi Cyborg: a Singapore la prima produzione in serie di scarafaggi cyborg al mondo
Di Redazione RHC - 04/08/2025

Scienziati della Nanyang Technological University, insieme a colleghi giapponesi, hanno creato la prima linea robotica al mondo per la produzione in serie di scarafaggi cyborg. Ciò ha permesso di...

L’IA ha fame di Energia! Al via HyperGrid, il più grande complesso nucleare privato
Di Redazione RHC - 03/08/2025

Fermi America ha firmato un memorandum d’intesa con Hyundai Engineering & Construction (Hyundai E&C) per progettare e costruire la parte nucleare di un progetto infrastrutturale energet...

Iscriviti alla nostra newsletter

Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.

 
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006