本文要点
Hellcat黑客组织自2024年底崭露头角以来,通过攻击施耐德电气、西班牙电信和Orange罗马尼亚等知名企业迅速确立网络犯罪领域的恶名。这个原名为"ICA集团"的组织,其核心成员Pryx和Rey的真实身份近期通过论坛活动、社交媒体痕迹和网络取证被成功锁定。本文将深入剖析这两名威胁行为体的作案手法,助力执法部门打击犯罪,帮助企业筑牢防线。
谁是Rey/Hikki-Chan?
化名"Rey"的黑客早年以"Hikki-Chan"身份活跃于BreachForums论坛,通过数据泄露迅速获得关注。尽管其宣称的VK和Kavim等独家漏洞后被证实为旧数据重新包装,但仍于2024年底重组Hellcat并担任管理员。该黑客擅长利用Jira凭证渗透企业系统,近期声称攻陷捷豹和Ascom等公司网络。
Rey在Telegram和X平台表现活跃,除分享漏洞信息外,常发表攻击电信安全系统的言论,内容涉及加密货币诈骗工具和极端言论。他自诩为2020年入行的密码学专家,专注于网站篡改攻击,但声称不攻击医疗机构。其网络形象呈现出精于算计的实用主义犯罪特征。
开源情报线索
威胁情报平台显示,Rey在2024年2月(Redline木马)和3月(Vidar木马)两度感染信息窃取木马。其中一台被感染设备追踪至约旦安曼的"Saif",疑似为其家族共用电脑。进一步溯源发现其早期使用"ggyaf"和"o5tdev"等别名活跃于RaidForums等黑客论坛,GitHub和ProtonMail账户也与此关联。
在一份Pastebin声明中,Rey自称"巴勒斯坦黑客",宣称"只敬畏真主",并隶属于匿名者巴勒斯坦分支。其旧账号透露自身具有巴勒斯坦-约旦血统,同时与爱尔兰存在关联。
谁是Pryx/HolyPryx?
Pryx自2024年6月起活跃于XSS、BreachForums等多平台,初期攻击教育机构,后升级为针对阿联酋、沙特等政府系统的网络入侵。其犯罪业务涵盖数据倒卖和AES256加密器销售,个人博客(pryx.pw)曾作为技术交流平台。该黑客在Telegram群组中表现出阿拉伯语特征,自称2018年开始信用卡盗刷活动,X账号曾发布针对哈佛大学的炸弹威胁。
Pryx推广已关闭的DangerZone论坛,否认与其隶属关系,声称论坛由化名"Sileo"(疑似BlackForums前管理员Astounding)运营。其研发的"服务器端窃取器"通过Tor网络建立隐蔽通信通道,显著降低传统窃取器的检测风险。
开源情报线索
技术分析发现Pryx的恶意代码与域名pato.pw存在关联。该网站伪装成安全研究平台,但2024年7月发布的《静默Tor文件服务器(新战术?)》指南与其在XSS论坛分享的内容高度吻合。指南截图与Pryx为XSS竞赛制作的YouTube视频完全一致,且发布时间早于论坛分享两周。
GitHub仓库溯源显示,用户"patopw"虽更名但保留原邮箱,其中某文件哈希值与Pryx在Telegram分享的文件完全匹配。网站存档版本显示作者名为"Adem",经调查锁定阿联酋某自诩网络安全专家的个体。该个体信息窃取记录关联到"Weed/WeedSec"威胁行为体,其X账号提及的"weedforums.lol"链接至Telegram用户"weedforums",聊天记录显示与Astounding关系密切,多重证据指向Pryx与Weed/WeedSec实为同一人。
核心结论
Hellcat黑客组织通过Rey和Pryx的协同作案迅速崛起。讽刺的是,长期依赖信息窃取日志实施攻击的二人,最终也因同类木马感染暴露身份。
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
原文始发于微信公众号(夜组科技圈):Hellcat黑客组织身份曝光:揭秘Rey和Pryx
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论