Redazione RHC : 29 Marzo 2025 08:16
Il gruppo Hellcat si ritrova al centro delle indagini di KELA, che ha rivelato le vere identità di due personaggi chiave, “Rey” e “Pryx”.
Originariamente il gruppo era noto come ICA Group, ma verso la fine del 2024 operava con il nuovo marchio Hellcat, dimostrando un elevato livello di coordinamento e aggressività. Il gruppo ha acquisito notorietà per attacchi di alto profilo come Schneider Elettric, Telefonica e Orange Romania.
Rey ha iniziato la sua carriera con il nome di “Hikki-Chan” sul forum BreachForums, dove pubblicava presunte fughe di notizie esclusive, alcune delle quali si sono poi rivelate essere delle rivendite di vecchi dati. Nonostante la sua reputazione danneggiata, Rey continuò le sue attività sotto un nuovo soprannome e divenne l’amministratore di Hellcat.
Distribuisci i nostri corsi di formazione diventando un nostro Affiliato
Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Rey ha utilizzato attivamente Telegram e il social network X per pubblicare fughe di notizie e criticare gli operatori delle telecomunicazioni, nonché per distribuire messaggi e strumenti di attacco informatico. Affermava di essere specializzato in crittografia e iniziò la sua carriera di hacker deturpando i siti web. Tra i suoi metodi, spiccano in particolare le seguenti tattiche: sfruttare i dati jira per accedere alle informazioni aziendali.
Utilizzando i dati provenienti dall’archivio di KELA, è stato possibile stabilire che Rey è stato infettato due volte dagli infostealer Redline e Vidar all’inizio del 2024.
Uno dei computer infetti sembra essere stato condiviso con i membri della sua famiglia. Questo è ciò che ha portato a stabilire un collegamento con un giovane di nome Saif, originario di Amman, in Giordania, la cui identità potrebbe corrispondere a quella di Rey. In precedenza aveva utilizzato gli alias “ggyaf” e “o5tdev“, partecipando attivamente ai forum RaidForums e BreachForums e dichiarando inoltre di essere affiliato ad Anonymous Palestine.
Il secondo membro di Hellcat è Pryx, che ha iniziato le sue attività nell’estate del 2024. È passato rapidamente dalle fughe di notizie dalle istituzioni educative agli attacchi ai sistemi governativi nei paesi del Golfo e dei Caraibi e, in seguito, alle aziende private. Inoltre, Pryx ha sviluppato il proprio ransomware basato su AES256 e ha scritto guide per forum, tra cui XSS. Gestiva anche i siti web pryx.pw e pryx.cc.
Secondo KELA, Pryx parlava arabo ed era coinvolto nel carding dal 2018. Ha rilasciato dichiarazioni offensive e provocatorie, tra cui una minaccia di attaccare l’Università di Harvard. Uno degli sviluppi di Pryx è stato un server stealer che sfrutta i servizi Tor per accedere segretamente ai sistemi infetti. Questa tattica ha consentito all’aggressore di ridurre al minimo le tracce ed evitare di essere scoperto, trasmettendo i dati al proprio server senza connessioni in uscita attive.
L’analisi tecnica di uno degli strumenti malware Pryx ha portato al dominio pato.pw, precedentemente posizionato come risorsa per i ricercatori di sicurezza. Tuttavia, le somiglianze nei contenuti e nel codice hanno permesso di collegare direttamente il sito a Pryx. Il sito ospitava guide e istruzioni, i cui contenuti apparivano poi sui forum sotto il suo nickname. Sono stati trovati anche repository GitHub e indirizzi email che corrispondevano ai dati di Telegram e di altre fonti, indicando una persona di nome Adem, che vive negli Emirati Arabi Uniti.
Un’analisi più approfondita ha rivelato la connessione di Pryx con un altro pirata informatico — WeedSec. Tramite Telegram siamo riusciti a trovare account, corrispondenza con un altro amministratore di BlackForums e partite che utilizzavano gli stessi dati di accesso. È stato anche confermato che questa persona aveva utilizzato il nome Adem in altri contesti, rafforzando ulteriormente il collegamento tra Pryx e la persona reale.
Nonostante il loro progresso tecnologico e la loro aggressività, entrambi i membri di Hellcat alla fine sono rimasti vittime degli stessi infostealer su cui facevano affidamento per le loro attività di criminalità informatica. Ciò ha permesso ai ricercatori di stabilire connessioni chiave e forse avvicinarsi alla de-anonimizzazione di uno dei gruppi di hacker più importanti degli ultimi anni.
RedazioneIl CERT-AgID recentemente aveva avvertito che molte istanze pubbliche non sono ancora state aggiornate e tra queste 70 sono relative a banche, assicurazioni e pubbliche amministrazioni italiane. Ora l...
Shellter Project, produttore di un downloader commerciale per bypassare i sistemi antivirus ed EDR, ha segnalato che gli hacker stanno utilizzando il suo prodotto Shellter Elite per gli attacchi. Ques...
Il progetto Cyberpandino non è solo un’idea folle, ma una grande avventura su quattro ruote progettata e realizzata da due menti brillanti romane – Matteo Errera e Roberto Zaccardi ...
Un nuovo infostealer emerge dalle underground criminali e il suo nome è “123 | Stealer”. L’autore di questo software è un hacker che si nasconde sotto lo pseudonimo di k...
A soli 13 anni, Dylan è diventato il più giovane ricercatore di sicurezza a collaborare con il Microsoft Security Response Center (MSRC), dimostrando come la curiosità e la perseveranza...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
