Личности раскрыты: хакеры HellCat попались на собственные инфостилеры

Группировка Hellcat оказалась в центре расследования KELA, которое раскрыло реальные личности двух ключевых фигур «Rey» и «Pryx».

Первоначально группа была известна под названием ICA Group, но к концу 2024 года уже действовала под новым брендом Hellcat, демонстрируя высокий уровень координации и агрессии. Группа получила известность благодаря громким атакам на Schneider Electric , Telefónica и Orange Romania.

Rey начал свою деятельность под именем «Hikki-Chan» на форуме BreachForums, где публиковал якобы эксклюзивные утечки, часть из которых позднее оказались репаками старых данных. Несмотря на подорванную репутацию, Rey продолжил свою деятельность под новым никнеймом и стал администратором Hellcat.

Rey активно использовал Telegram и соцсеть X* для публикации утечек и критики телеком-операторов, а также распространял токсичные сообщения и инструменты для кибератак. Он утверждал, что специализируется на криптографии и начал свою хакерскую деятельность с дефейсов сайтов. Среди его методов особенно выделяется эксплуатация данных Jira для доступа к корпоративной информации.

С помощью данных из собственного хранилища KELA удалось установить, что Rey дважды стал жертвой заражения инфостилерами Redline и Vidar в начале 2024 года. Один из заражённых компьютеров, судя по всему, использовался совместно с членами семьи. Именно это привело к установлению связи с молодым человеком по имени Саиф из Аммана, Иордания, чья личность может совпадать с Rey. Ранее он использовал псевдонимы «ggyaf» и «o5tdev», активно участвуя в форумах RaidForums и BreachForums, а также заявлял о своей принадлежности к Anonymous Palestine.

Вторым участником Hellcat является Pryx, начавший свою деятельность летом 2024 года. Он быстро перешёл от утечек из образовательных учреждений к атакам на государственные системы в странах Персидского залива и Карибского бассейна, а позже — на частные компании. Кроме того, Pryx разрабатывал собственный криптер, основанный на AES256, и писал гайды для форумов, включая XSS. Также он управлял сайтами pryx.pw и pryx.cc.

По данным KELA, Pryx говорил на арабском языке и с 2018 года занимался кардингом. Он публиковал оскорбительные и провокационные заявления, включая угрозу теракта в адрес Гарвардского университета. Одной из разработок Pryx стал серверный стилер, использующий Tor-сервисы для скрытного доступа к заражённым системам. Такая тактика позволяла минимизировать следы и избежать обнаружения, передавая данные на сервер злоумышленника без активных исходящих соединений.

Технический анализ одного из вредоносных инструментов Pryx привёл к домену pato.pw, ранее позиционировавшемуся как ресурс для исследователей безопасности. Однако совпадения в контенте и коде позволили связать сайт напрямую с Pryx. На сайте размещались гайды и инструкции, содержание которых затем появлялось на форумах под его никнеймом. Также были найдены GitHub-репозитории и адреса электронной почты, совпадающие с данными из Telegram и других источников, указывающие на человека по имени Адем, проживающего в ОАЭ.

Более глубокий анализ показал связь Pryx с другим хакером — Weed или WeedSec. Через Telegram удалось найти учётные записи, переписку с другим админом BlackForums и совпадения по использованию тех же логинов. Также подтвердилось, что этот человек использовал имя Адем в других контекстах, что дополнительно укрепило связь между Pryx и реальной личностью.

Несмотря на технологическую продвинутость и агрессивность, оба участника Hellcat в итоге стали жертвами тех же инфостилеров, на которых они сами полагались в своей киберпреступной деятельности. Это позволило исследователям установить ключевые связи и, возможно, приблизиться к деанонимизации одного из наиболее заметных хакерских объединений последних лет.

* Социальная сеть запрещена на территории Российской Федерации.