Cyber-extorsion : deux membres de Hellcat démasqués

Des cybercriminels pris dans leur propre piège. Le cas n’est pas inédit, mais il est suffisamment rare pour mériter d’être souligné. De fait, des criminels ont déjà, par le passé, été identifiés grâce à des logs d’infostealers. Mais l’ironie est particulièrement marquée quand ils en sont eux-mêmes consommateurs. Et cela vaut justement pour ceux qui se font appeler Rey et Pryx. 

Ce sont les principaux membres du groupe Hellcat. Ce dernier s’est fait une spécialité dans le vol de données sur des instances Jira en exploitant des identifiants compromis par infostealer. Parmi ses victimes, on compte notamment Schneider Electric et la filiale roumaine d’Orange.

Les experts de Kela se sont penchés sur eux deux. Rey a précédemment utilisé le pseudonyme de « Hikki-Chan » et recyclé des données volées et divulguées antérieurement. Il aurait déjà été actif en 2020, se concentrant initialement sur la défiguration de sites Web. Mais il n’est pas nécessairement très prudent.

Des ordinateurs utilisés par Rey ont ainsi été compromis par infostealer en février et mars 2024. Deux différents : Redline et Vidar. Les données volées à cette occasion ont renvoyé à une personne nommée « Saif », localisée à Amman, en Jordanie. De quoi faire émerger d’autres pseudonymes : « ggyaf » et « o5tdev ».

« Dans un message publié sur Pastebin, il se décrit comme un “hacker palestinien” et déclare : “je n’ai peur de rien, seulement d’Allah” », relèvent les chercheurs de Kela. Rey s’est en outre déclaré membre d’Anonymous Palestine. Antérieurement, il s’est dit « d’origine palestinienne et jordanienne ».

Quant à Pryx, d’anciens messages sur Telegram font ressortir une personne parlant nativement arabe. « Selon lui, il est impliqué dans le carding [fraude à la carte bancaire, N.D.L.R.] depuis 2018 », indique Kela. 

Selon les chercheurs, « Pryx a fait des déclarations controversées et offensantes, y compris des remarques racistes et antisémites, et a émis des menaces, y compris une alerte à la bombe contre l’université de Harvard sur son profil X ».

Les traces laissées par ses activités conduisent à « une personne des Émirats arabes unis, originaire d’un autre pays arabe, qui se présente comme un expert en cybersécurité. En utilisant les coordonnées de cette personne, Kela a trouvé dans notre data lake un bot infostealer connexe provenant des Émirats arabes unis ». 

Ces données renvoient à un acteur désigné comme « Weed/WeedSec », qui pourrait vraisemblablement être Pryx, selon Kela. Lequel utiliserait aussi le pseudonyme « Adem ».