In seguito all’arresto avvenuto in Francia a febbraio, le autorità degli Stati Uniti hanno svelato il nome del famigerato IntelBroker, ex amministratore del noto BreachForums. Il cybercriminale è stato accusato di quattro reati per i quali rischia fino a 55 anni di prigione. Le autorità sono in attesa dell’estradizione.

BreachForums esiste ancora?

IntelBroker (alias Kyle Northern) è in realtà Kai West, un cittadino britannico di 25 anni. Il cybercriminale è diventato amministratore/proprietario di BreachForums dopo l’arresto di Baphomet che a sua volta aveva sostituito il fondatore Pompompurin (all’anagrafe Conor Brian Fitzpatrick). Un altro amministratore (ShinyHunters), un moderatore (Hollow) e altre due soggetti (Noct e Depressed), tutti di nazionalità francese, sono stati arrestati il 23 giugno.

Kai West è stato accusato di intrusione non autorizzata nei computer di aziende di telecomunicazioni, Internet service provider e agenzie governative. Ha sottratto numerosi dati sensibili, successivamente messi in vendita su BreachForums, causando danni per oltre 25 milioni di dollari ad oltre 40 vittime.

West ha partecipato (direttamente o indirettamente) agli attacchi contro Europol, General Electric, AMD, HPE e Nokia. Dalla vendita dei dati rubati (tra il 2023 e il 2025) ha ottenuto un profitto illecito di circa 2 milioni di dollari.

Nella deposizione di un agente dell’FBI (PDF) viene spiegato come è stata scoperta la vera identità del cybercriminale. L’agente sotto copertura ha inviato un messaggio privato a IntelBroker su BreachForums per acquistare una API key rubata a 250 dollari in Bitcoin.

Tracciando la transazione è stato individuato l’account associato al wallet Ramp, aperto da Kai West usando la patente di guida come documento di riconoscimento. Lo stesso indirizzo email è stato usato per un account Coinbase associato all’alias Kyle Northern. Tra le email c’erano diversi documenti e una foto della patente di guida. West rischia fino a 55 anni di prigione negli Stati Uniti.

Il famigerato BreachForums è stato chiuso due volte dalle autorità, ma è tornato online con altri domini. La versione pubblica (accessibile a tutti con registrazione) è stata messa offline a fine aprile per risolvere una vulnerabilità nel software MyBB. Non è noto se risorgerà nuovamente con un altro nome. Probabile che la compravendita dei dati sia ancora attiva nel dark web o su Telegram.