Nel mondo della criminalità informatica, molti hacker cercano di mantenere segreta la loro vera identità, separandola dai loro pseudonimi online. Tuttavia, tra i veterani hacker russi, non è raro trovare figure di spicco che hanno fatto poco per nascondere chi sono realmente. Un esempio emblematico di questo fenomeno è l'hacker noto come "x999xx", un broker di accesso di rete di alto profilo che fornisce accesso iniziale a vari gruppi di ransomware.

x999xx è un broker di accesso ben noto che vende frequentemente accesso a reti aziendali compromesse, solitamente sotto forma di credenziali di accesso remoto, e database compromessi contenenti grandi quantità di dati personali e finanziari. Nel febbraio 2019, la società di intelligence informatica Flashpoint ha identificato x999xx come uno dei membri più senior e prolifici del forum di cybercriminalità in lingua russa Exploit, dove frequentemente pubblicizzava la vendita di database rubati e credenziali di rete.

Nel corso degli anni, x999xx ha venduto accesso a diverse organizzazioni, inclusa una azienda che sviluppa software per il settore immobiliare e un fornitore di assistenza sanitaria negli Stati Uniti. Utilizzando vari alias e indirizzi email, come Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. e Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., x999xx ha mantenuto una presenza costante su diversi forum di criminalità informatica. Le sue tracce digitali portano a Maxim Kirtsov, un individuo di Ozersk, Russia, che ha utilizzato diversi pseudonimi e indirizzi email per registrarsi su numerosi forum di cybercriminalità fin dal 2005.

Le attività di x999xx non si limitano alla vendita di accesso a reti compromesse. Nel 2019, un post del blog di Recorded Future ha rivelato che un dominio associato a Kirtsov era utilizzato per ospitare un server Cobalt Strike, uno strumento commerciale di penetrazione della rete spesso abusato dai cybercriminali per preparare l'installazione di ransomware. Nel 2023, x999xx ha cercato di acquistare una versione licenziata di Cobalt Strike, segnalando il suo continuo interesse per questo strumento.

Nonostante le sue attività criminali, x999xx ha mostrato un atteggiamento rilassato verso la sicurezza personale, simile a quello di altri hacker russi di alto profilo, come Wazawaka. Questo atteggiamento riflette una fiducia nella protezione fornita dalle autorità russe, a condizione che le loro attività siano dirette contro obiettivi stranieri. Wazawaka, ad esempio, ha affermato che "Madre Russia ti aiuterà" e che "non bisogna sporcare dove si vive".

Le autorità occidentali hanno iniziato a concentrarsi sull'infiltrazione e la distruzione delle operazioni di ransomware-as-a-service, cercando di diminuire la fiducia all'interno delle comunità cybercriminali. Operazioni come Endgame, annunciate nel maggio 2024, mirano a colpire le piattaforme più popolari per la distribuzione di ransomware e malware, utilizzando tattiche psicologiche per destabilizzare queste reti criminali.

La storia di x999xx e di altri hacker come lui evidenzia la complessità e la pericolosità del mondo della criminalità informatica, dove la protezione nazionale e la mancanza di estradizione creano un ambiente sicuro per criminali che operano a livello globale.