Hellcat黑客组织身份曝光：揭秘Rey和Pryx

本文要点

Hellcat黑客组织自2024年底崭露头角以来，通过攻击施耐德电气、西班牙电信和Orange罗马尼亚等知名企业迅速确立网络犯罪领域的恶名。这个原名为"ICA集团"的组织，其核心成员Pryx和Rey的真实身份近期通过论坛活动、社交媒体痕迹和网络取证被成功锁定。本文将深入剖析这两名威胁行为体的作案手法，助力执法部门打击犯罪，帮助企业筑牢防线。

谁是Rey/Hikki-Chan？

化名"Rey"的黑客早年以"Hikki-Chan"身份活跃于BreachForums论坛，通过数据泄露迅速获得关注。尽管其宣称的VK和Kavim等独家漏洞后被证实为旧数据重新包装，但仍于2024年底重组Hellcat并担任管理员。该黑客擅长利用Jira凭证渗透企业系统，近期声称攻陷捷豹和Ascom等公司网络。

Rey在Telegram和X平台表现活跃，除分享漏洞信息外，常发表攻击电信安全系统的言论，内容涉及加密货币诈骗工具和极端言论。他自诩为2020年入行的密码学专家，专注于网站篡改攻击，但声称不攻击医疗机构。其网络形象呈现出精于算计的实用主义犯罪特征。

开源情报线索

威胁情报平台显示，Rey在2024年2月（Redline木马）和3月（Vidar木马）两度感染信息窃取木马。其中一台被感染设备追踪至约旦安曼的"Saif"，疑似为其家族共用电脑。进一步溯源发现其早期使用"ggyaf"和"o5tdev"等别名活跃于RaidForums等黑客论坛，GitHub和ProtonMail账户也与此关联。

在一份Pastebin声明中，Rey自称"巴勒斯坦黑客"，宣称"只敬畏真主"，并隶属于匿名者巴勒斯坦分支。其旧账号透露自身具有巴勒斯坦-约旦血统，同时与爱尔兰存在关联。

谁是Pryx/HolyPryx？

Pryx自2024年6月起活跃于XSS、BreachForums等多平台，初期攻击教育机构，后升级为针对阿联酋、沙特等政府系统的网络入侵。其犯罪业务涵盖数据倒卖和AES256加密器销售，个人博客（pryx.pw）曾作为技术交流平台。该黑客在Telegram群组中表现出阿拉伯语特征，自称2018年开始信用卡盗刷活动，X账号曾发布针对哈佛大学的炸弹威胁。

Pryx推广已关闭的DangerZone论坛，否认与其隶属关系，声称论坛由化名"Sileo"（疑似BlackForums前管理员Astounding）运营。其研发的"服务器端窃取器"通过Tor网络建立隐蔽通信通道，显著降低传统窃取器的检测风险。

开源情报线索

技术分析发现Pryx的恶意代码与域名pato.pw存在关联。该网站伪装成安全研究平台，但2024年7月发布的《静默Tor文件服务器（新战术？）》指南与其在XSS论坛分享的内容高度吻合。指南截图与Pryx为XSS竞赛制作的YouTube视频完全一致，且发布时间早于论坛分享两周。

GitHub仓库溯源显示，用户"patopw"虽更名但保留原邮箱，其中某文件哈希值与Pryx在Telegram分享的文件完全匹配。网站存档版本显示作者名为"Adem"，经调查锁定阿联酋某自诩网络安全专家的个体。该个体信息窃取记录关联到"Weed/WeedSec"威胁行为体，其X账号提及的"weedforums.lol"链接至Telegram用户"weedforums"，聊天记录显示与Astounding关系密切，多重证据指向Pryx与Weed/WeedSec实为同一人。

核心结论

Hellcat黑客组织通过Rey和Pryx的协同作案迅速崛起。讽刺的是，长期依赖信息窃取日志实施攻击的二人，最终也因同类木马感染暴露身份。