Source: KELA Cyber — Mise à jour publiée le 27 novembre 2025. KELA confirme et étend son enquête initiale (27 mars 2025) ayant « démasqué » Rey, désormais validée par des reprises médiatiques dont un billet détaillé de Brian Krebs. L’équipe continue de suivre ses activités, notamment comme figure clé au sein des Scattered LAPSUS$ Hunters, et récapitule les liens OSINT qui associent Rey et son co-fondateur Pryx aux opérations du groupe Hellcat.

KELA rappelle que Hellcat (ex-« ICA Group ») s’est illustré dès fin 2024 par des attaques contre des entreprises majeures comme Schneider Electric, Telefónica et Orange Romania. Au centre: Rey (ex-« Hikki‑Chan »), devenu administrateur de Hellcat, dont les opérations incluent l’exploitation d’identifiants Jira pour accéder à des données sensibles (revendications récentes: Jaguar, Ascom). Rey a aussi été associé aux attaques visant Jaguar Land Rover (partage d’analyses avec The Telegraph) et conserve une présence en ligne agressive sur Telegram/X, mêlant fuites, critiques des télécoms et propos toxiques.

Côté OSINT (Rey): KELA a observé deux infections par infostealers en 2024 (février: RedLine; mars: Vidar) sous le pseudonyme « Hikki‑Chan », avec une machine partagée pointant vers un individu nommé Saif Khader à Amman (Jordanie). Des recoupements lient ses anciens alias (« ggyaf », « o5tdev ») à des comptes (GitHub, ProtonMail, cock.li) et à des activités passées (défacements, auto‑présentation comme hacker palestinien/jordanien, appartenance revendiquée à Anonymous Palestine). KELA indique que ces éléments ont été partagés en profilage complet avec les forces de l’ordre.

Qui est Pryx: actif depuis mi‑2024 (XSS, BreachForums, Dread, Telegram, X), il est passé de fuites d’établissements éducatifs à des intrusions dans des systèmes gouvernementaux (EAU, Arabie saoudite, Barbade), puis à des cibles privées. Il a vendu un crypter AES‑256 et revendiqué un stealer côté serveur utilisant Tor pour exfiltrer discrètement. Il a entretenu un blog (pryx.pw, ex pryx.cc), parlé de carding depuis 2018, tenu des propos controversés, et promu le forum cybercrime DangerZone (niant en être le propriétaire et citant « Sileo »/« Astounding »).

OSINT (Pryx): une analyse de code malveillant relie Pryx au domaine pato.pw. Un guide du 23 juillet (« Silent Tor File‑server (new tactic?) ») décrivant un stealer côté serveur correspond à une vidéo soumise par Pryx à un concours sur XSS et a été publié sur pato.pw deux semaines avant son partage sur XSS. Un dépôt GitHub lié à pato.pw (email identique) contient un fichier dont le hash correspond à un binaire partagé par Pryx sur Telegram. Une archive du 30 juin 2024 créditait l’auteur « Adem » (nom complet caviardé), rattaché à un individu aux Émirats arabes unis; un bot infostealer le concernant apparaît dans la data lake de KELA. Les recoupements mènent aux alias Weed/WeedSec, à un profil X mentionnant weedforums.lol, et à un utilisateur Telegram « weedforums » proche d’Astounding, suggérant fortement que Pryx ≈ Weed/WeedSec. En conclusion, KELA souligne l’ironie: Rey et Pryx, friands des logs d’infostealer pour leurs opérations, en ont eux‑mêmes été victimes. L’article est une analyse de menace visant à documenter l’attribution et les tactiques.

IOCs (extraits):

  • Domaines: pato.pw, pryx.pw, pryx.cc, weedforums.lol
  • Malware/Stealers: RedLine, Vidar
  • Aliases/handles: Hikki‑Chan, Rey, ggyaf, o5tdev, Pryx, HolyPryx, Weed, WeedSec, weedforums, Sileo, Astounding
  • Plateformes: BreachForums, XSS, Dread, Telegram, X (Twitter), GitHub, ProtonMail, cock.li, Pastebin, DangerZone, BlackForums

TTPs (extraits):

  • Exploitation d’identifiants Jira compromis pour l’accès aux données sensibles
  • Stealer côté serveur via services Tor installés chez la victime pour exfiltration discrète
  • Ré‑emballage et re‑publication de fuites anciennes sous forme de « nouvelles » fuites
  • Défacements de sites; carding; développement/vente de crypter AES‑256
  • Diffusion de fuites et propagande via Telegram et X

🧠 TTPs et IOCs détectés

TTP

Exploitation d’identifiants Jira compromis pour l’accès aux données sensibles; Stealer côté serveur via services Tor installés chez la victime pour exfiltration discrète; Ré-emballage et re-publication de fuites anciennes sous forme de ’nouvelles’ fuites; Défacements de sites; Carding; Développement/vente de crypter AES-256; Diffusion de fuites et propagande via Telegram et X

IOC

Domaines: pato.pw, pryx.pw, pryx.cc, weedforums.lol; Malware/Stealers: RedLine, Vidar; Aliases/handles: Hikki-Chan, Rey, ggyaf, o5tdev, Pryx, HolyPryx, Weed, WeedSec, weedforums, Sileo, Astounding; Plateformes: BreachForums, XSS, Dread, Telegram, X (Twitter), GitHub, ProtonMail, cock.li, Pastebin, DangerZone, BlackForums

🔗 Source originale : https://www.kelacyber.com/blog/hellcat-hacking-group-unmasked-rey-and-pryx/