Come un'e-mail, un portafoglio crittografico e l'attività su YouTube hanno portato l'FBI a IntelBroker

Le autorità degli Stati Uniti hanno incriminato un cittadino britannico, Kai Logan West, noto online come " IntelBroker ", per una serie di violazioni di dati di alto profilo che hanno causato danni per almeno 25 milioni di dollari ad aziende in tutto il mondo. Il ventitreenne è stato arrestato in Francia nel febbraio 2025 e ora rischia l'estradizione negli Stati Uniti per essere processato nel Distretto Meridionale di New York.

Come riportato da Hackread.com, l'arresto di IntelBroker è stato seguito da quello di molti altri, tra cui quattro individui legati al gruppo di hacker ShinyHunters. Sia IntelBroker che i membri di ShinyHunters erano coinvolti nell'amministrazione e nella moderazione del forum dedicato alla criminalità informatica e alle violazioni dei dati BreachForums.

La denuncia non sigillata (PDF), datata febbraio 2025, mette a nudo l'indagine biennale dell'FBI sulle operazioni di criminalità informatica di West, collegandolo a decine di violazioni di dati, vendite di dati rubati e alla leadership di un collettivo di hacker operante su forum del clear web e del dark web.

Utilizzando alias come "IntelBroker" e "Kyle Northern", West si è costruito una reputazione su un forum del clear e dark web noto nell'atto d'accusa come "Forum-1" (BreachForums). Operando sotto l'egida di una banda di hacker chiamata CyberN (ex "The Boys"), IntelBroker offriva database hackerati di agenzie governative, operatori sanitari, aziende di telecomunicazioni e provider di servizi Internet.

Tra il 2023 e l'inizio del 2025, West ha pubblicato almeno 158 thread su Forum-1 in cui venivano pubblicati dati rubati, 41 dei quali riguardanti aziende statunitensi. L'FBI rileva che sono stati richiesti almeno 2 milioni di dollari in criptovaluta Monero per le informazioni rubate.

Nel 2024, IntelBroker è stato indicato come il "proprietario" di Forum-1 e la sua fama è salita alle stelle quando ha distribuito gratuitamente alcune perdite di dati per aumentare la credibilità, raccogliere follower e attrarre acquirenti.

Ciò che West non sapeva era che gli agenti dell'FBI stavano osservando attentamente. L'FBI aveva schierato agenti sotto copertura che si spacciavano per acquirenti sul Forum-1. In almeno due occasioni, gli agenti avevano acquistato dati rubati direttamente da IntelBroker.

Nel gennaio 2023, un agente ha acquistato una chiave API e credenziali di accesso per un'azienda denominata "Victim-7". Sebbene le credenziali avessero un valore limitato, la transazione è diventata un elemento chiave per tracciare la sua identità quando IntelBroker ha richiesto il pagamento in Bitcoin (anziché in Monero) e ha fornito un indirizzo di portafoglio tracciabile sulla blockchain.

Gli analisti blockchain dell'FBI hanno seguito il flusso di denaro e hanno scoperto che:

• Il portafoglio Bitcoin utilizzato per la transazione era stato prelevato da un altro portafoglio collegato a un conto su una piattaforma finanziaria chiamata Ramp.
• L'account Ramp è stato registrato utilizzando una patente di guida provvisoria del Regno Unito rilasciata a Kai Logan West.
• La stessa identità, Kai West, possedeva anche un account Coinbase con lo pseudonimo Kyle Northern, ma con verifica KYC, a conferma che si trattava della stessa persona.

Per collegare ulteriormente i puntini, entrambi gli account erano collegati a un indirizzo Gmail utilizzato da West per questioni personali, tra cui:

• Selfie salvati nel cloud
• Ricevute e documenti d'identità
• Comunicazioni su alloggi e tasse universitarie nel Regno Unito
• Video che mostrano strumenti di rete come "GPRS Smash"

L'e-mail includeva anche un certificato studentesco che attestava che West era iscritto a un programma di sicurezza informatica.

West non si è limitato a operare in modo negligente, ma si è anche esposto collegando la sua attività online a comportamenti personali. I suoi post su IntelBroker su Forum-1 facevano spesso riferimento a video di YouTube che aveva appena visto dal suo account di posta elettronica personale, e aggiornava regolarmente il suo blocco firme per elencare i membri del suo gruppo di hacker, il che ha reso più facile tracciare il suo coinvolgimento in più thread.

Quando Forum-1 fu sequestrato e chiuso nel 2024 e rilanciato, tutti i vecchi post ereditarono la firma aggiornata, creando una traccia coerente delle attività e delle affiliazioni di West a partire dall'inizio del 2023.

L'atto d'accusa menziona almeno sei vittime, indicate solo con le sigle da Vittima-1 a Vittima-6. I dati di Vittima-1, un fornitore di servizi di telecomunicazioni, sono stati esfiltrati e cancellati da un server di hosting a Manhattan, con danni stimati in centinaia di migliaia di dollari.

Alla vittima 3, un fornitore di servizi sanitari municipali, sono stati rubati i dati personali e sanitari di oltre 56.000 persone, che West ha poi rivenduto a un agente dell'FBI sotto copertura per 1.000 dollari in Monero. La vittima 6, un fornitore di servizi Internet, è stata compromessa utilizzando informazioni provenienti da precedenti fughe di notizie per violare un server interno.

In ogni caso, West ha offerto pubblicamente campioni di prova, ha negoziato le vendite tramite messaggi privati ​​e ha accettato solo Monero per mantenere l'anonimato, anche se la traccia cartacea è stata rintracciata.

Tuttavia, poiché Hackread.com ha riferito in esclusiva sulle violazioni dei dati di IntelBroker, ecco un elenco completo delle violazioni e delle fughe di dati rivendicate dall'hacker:

Ecco l'elenco ordinato dal più breve al più lungo in base al numero di caratteri:

West è stato accusato di quattro reati federali:

1. frode telematica
2. Cospirazione per commettere frode telematica
3. Cospirazione per commettere intrusioni informatiche
4. Accedere a un computer protetto per frodare e ottenere valore

Ognuna di queste infrazioni comporta il rischio di diversi anni di carcere, in particolare quando riguarda dati sanitari o infrastrutture critiche.

L'agente speciale dell'FBI Carson Hughes e il procuratore degli Stati Uniti Jay Clayton hanno sottolineato la portata globale e la pericolosità delle operazioni di IntelBroker. L'FBI ha definito il caso "un avvertimento" per i criminali informatici che credono che l'anonimato online li protegga dalle conseguenze.

Kai West si presentava professionalmente come ricercatore in sicurezza informatica e operava con due identità separate su LinkedIn, una come Kyle Northern e l'altra come K West. La segnalazione è stata fatta per la prima volta da Nathaniel Fried , co-fondatore e CEO di 0xbowio, che ha condiviso i dettagli dei doppi profili di West con Hackread.com.

In particolare, il profilo di Kyle Northern affermava che aveva lavorato come Security Researcher Trainee presso la National Crime Agency (NCA) del Regno Unito da settembre a ottobre 2019. Se corretto, questo ruolo avrebbe potuto comportare l'accesso a sistemi classificati, poiché la NCA si occupa di criminalità organizzata grave e sicurezza nazionale. Sebbene l'affiliazione alla NCA non sia stata verificata, il presunto background di West in sicurezza informatica e il suo percorso accademico suggeriscono che la possibilità non debba essere scartata a priori.

West rimane in custodia cautelare in Francia e i funzionari statunitensi stanno attivamente cercando di estradirlo. Se condannato, potrebbe affrontare decenni di carcere. Nel frattempo, Forum-1 è offline dall'aprile 2025, presumibilmente a causa di una vulnerabilità zero-day di MyBB. Molti dei suoi membri sono poi migrati su altre piattaforme, tra cui DarkForums e il forum russo sulla criminalità informatica XSS.

La scoperta di IntelBroker si distingue come un'importante sgombero del crimine informatico. Ciò che lo ha reso possibile è stato un mix di lavoro sotto copertura dell'FBI, tracciamento di criptovalute e persino prove di email tradizionali, tutti elementi che hanno contribuito a rintracciare una delle figure più note sui forum dedicati alla criminalità informatica.