Voilà des investigations qui vont intéresser fortement deux poids lourds français du Cac 40. L’entreprise de cybersécurité israélienne Kela vient en effet d’annoncer avoir démasqué les identités de deux cybercriminels du groupe Hellcat, un gang à l’origine d’attaques informatiques contre la filiale roumaine d’Orange et Schneider Electric.
Des informations clés, non dévoilées intégralement en ligne mais déjà communiquées à des agences policières, précise l’entreprise de cybersécurité.
Comme elle le raconte dans un post fouillé, cette dernière s’est intéressée aux profils de « Rey » et de « Pryx ». Ces cybercriminels avaient tenté de monnayer les piratages dont ont été victimes les deux entreprises françaises. Schneider Electric avait par exemple été sommée de payer une rançon de 125 000 dollars en « baguettes ».
KELA has published a profile on Rey and Pryx, the two main individuals behind the Hellcat hacking group, responsible for several breaches over the past months, such as Schneider Electric, Telefónica, and Orange Romania.
www.kelacyber.com/blog/hellcat…
— Catalin Cimpanu (@campuscodi.risky.biz) 27 mars 2025 à 14:13
Retour de bâton
Seul problème pour les deux cybercriminels: selon Kela, le premier, « Rey », a lui-même été victime d’infostealers, ces logiciels espions trop curieux, à deux reprises, en février et mars 2024. « Ironiquement, Rey et Pryx, qui s’appuyaient fortement sur les journaux d’infostealers dans leurs opérations, en ont eux-mêmes été victimes », s’amuse l’entreprise.
Les informations divulguées après les deux infections par Redline et Vidar liées à « Rey » suggèrent que sa famille vit à Amman, en Jordanie.
« Rey » aurait également utilisé un autre pseudo, « o5tdev », un « hacker palestinien » faisant partie d’Anonymous Palestine selon une publication Pastebin rattachée.
Expert en cybersécurité
Quant à Pryx, l’analyse du code source de l’un de ses malwares a permis de le relier au domaine pato.pw, une plateforme censée être destinée aux chercheurs en sécurité informatique. Ce site mentionnait un temps un certain « Adem ». Un nom rattaché par l’entreprise à un homme vivant aux Emirats Arabes Unis se présentant comme un expert en cybersécurité, là aussi également victime d’un infostealer, non précisé cette fois-ci.
Son profil est particulièrement intéressant. Il est en effet suspecté d’avoir mis sur le marché cybercriminel un chiffreur et son propre stealer.
Un dernier logiciel plus furtif que la faune habituelle. En établissant un point d’accès caché sur l’appareil de la victime, il réduisait les risques de détection en minimisant les traces sur le réseau, relève l’entreprise Kela. Une façon d’opérer justement décrite dans le guide au nom d’ « Adem » hébergé sur pato.pw. La boucle est bouclée.