Gli Hacker di Hellcat traditi dai Loro Stessi Infostealer

Redazione RHC : 29 Marzo 2025 08:16

Il gruppo Hellcat si ritrova al centro delle indagini di KELA, che ha rivelato le vere identità di due personaggi chiave, “Rey” e “Pryx”.

Originariamente il gruppo era noto come ICA Group, ma verso la fine del 2024 operava con il nuovo marchio Hellcat, dimostrando un elevato livello di coordinamento e aggressività. Il gruppo ha acquisito notorietà per attacchi di alto profilo come Schneider Elettric, Telefonica e Orange Romania.

Rey ha iniziato la sua carriera con il nome di “Hikki-Chan” sul forum BreachForums, dove pubblicava presunte fughe di notizie esclusive, alcune delle quali si sono poi rivelate essere delle rivendite di vecchi dati. Nonostante la sua reputazione danneggiata, Rey continuò le sue attività sotto un nuovo soprannome e divenne l’amministratore di Hellcat.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Rey ha utilizzato attivamente Telegram e il social network X per pubblicare fughe di notizie e criticare gli operatori delle telecomunicazioni, nonché per distribuire messaggi e strumenti di attacco informatico. Affermava di essere specializzato in crittografia e iniziò la sua carriera di hacker deturpando i siti web. Tra i suoi metodi, spiccano in particolare le seguenti tattiche: sfruttare i dati jira per accedere alle informazioni aziendali.

Utilizzando i dati provenienti dall’archivio di KELA, è stato possibile stabilire che Rey è stato infettato due volte dagli infostealer Redline e Vidar all’inizio del 2024.

Uno dei computer infetti sembra essere stato condiviso con i membri della sua famiglia. Questo è ciò che ha portato a stabilire un collegamento con un giovane di nome Saif, originario di Amman, in Giordania, la cui identità potrebbe corrispondere a quella di Rey. In precedenza aveva utilizzato gli alias “ggyaf” e “o5tdev“, partecipando attivamente ai forum RaidForums e BreachForums e dichiarando inoltre di essere affiliato ad Anonymous Palestine.

Il secondo membro di Hellcat è Pryx, che ha iniziato le sue attività nell’estate del 2024. È passato rapidamente dalle fughe di notizie dalle istituzioni educative agli attacchi ai sistemi governativi nei paesi del Golfo e dei Caraibi e, in seguito, alle aziende private. Inoltre, Pryx ha sviluppato il proprio ransomware basato su AES256 e ha scritto guide per forum, tra cui XSS. Gestiva anche i siti web pryx.pw e pryx.cc.

Secondo KELA, Pryx parlava arabo ed era coinvolto nel carding dal 2018. Ha rilasciato dichiarazioni offensive e provocatorie, tra cui una minaccia di attaccare l’Università di Harvard. Uno degli sviluppi di Pryx è stato un server stealer che sfrutta i servizi Tor per accedere segretamente ai sistemi infetti. Questa tattica ha consentito all’aggressore di ridurre al minimo le tracce ed evitare di essere scoperto, trasmettendo i dati al proprio server senza connessioni in uscita attive.

L’analisi tecnica di uno degli strumenti malware Pryx ha portato al dominio pato.pw, precedentemente posizionato come risorsa per i ricercatori di sicurezza. Tuttavia, le somiglianze nei contenuti e nel codice hanno permesso di collegare direttamente il sito a Pryx. Il sito ospitava guide e istruzioni, i cui contenuti apparivano poi sui forum sotto il suo nickname. Sono stati trovati anche repository GitHub e indirizzi email che corrispondevano ai dati di Telegram e di altre fonti, indicando una persona di nome Adem, che vive negli Emirati Arabi Uniti.

Un’analisi più approfondita ha rivelato la connessione di Pryx con un altro pirata informatico — WeedSec. Tramite Telegram siamo riusciti a trovare account, corrispondenza con un altro amministratore di BlackForums e partite che utilizzavano gli stessi dati di accesso. È stato anche confermato che questa persona aveva utilizzato il nome Adem in altri contesti, rafforzando ulteriormente il collegamento tra Pryx e la persona reale.

Nonostante il loro progresso tecnologico e la loro aggressività, entrambi i membri di Hellcat alla fine sono rimasti vittime degli stessi infostealer su cui facevano affidamento per le loro attività di criminalità informatica. Ciò ha permesso ai ricercatori di stabilire connessioni chiave e forse avvicinarsi alla de-anonimizzazione di uno dei gruppi di hacker più importanti degli ultimi anni.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli