El ransomware respaldado por Irán (RAAS) llamado Pay2Key Reurfaces a raíz del conflicto Israel-Irán-Estados Unidos el mes pasado, ofreciendo mayores pagos a los ciberdelincuentes lanzando ataques contra Israel y los Estados Unidos
El esquema de motivación financiera que actualmente opera bajo el apodo Pay2Key.i2p está calificado como vinculado a un grupo de piratería rastreado como Fox Kitten (también conocido como Lemon Sandstorm).
«Vinculación con el infame Grupo de Fox Kitten Apt y estrechamente vinculado al conocido ransomware MIMIC (…) Pay2Key.i2p parece estar afiliado o incorporado con las capacidades de Mimic».
«Oficialmente, el grupo ofrece una participación de ganancias del 80% (frente al 70%) a los afiliados respaldados por Irán, o participa en ataques contra enemigos iraníes, demostrando un compromiso ideológico».
El año pasado, el gobierno de los Estados Unidos reveló una operación de amenaza altamente permanente (apt) de llevar a cabo ataques de ransomware al asociarse en secreto con Nocape, Ransomhouse y BlackCat (también conocido como AlphV).
El uso de Pay2Key por parte de los actores de amenaza iraní se remonta a octubre de 2020, dirigido a las empresas israelíes aprovechando las vulnerabilidades de seguridad conocidas.
PAY2KEY.I2P PER MORPHISEC apareció en la escena en febrero de 2025, pagando con éxito más de 51 rescates en cuatro meses, ganando más de $ 4 millones de pagos de rescate y ganando $ 100,000 para operadores individuales.
Sus motivaciones financieras son claras e indudablemente efectivas, pero también hay una agenda ideológica fundamental detrás de ellas. La campaña parece un ejemplo de una guerra cibernética que se desarrolla contra los objetivos israelíes y estadounidenses
Un aspecto notable de la última variante de Pay2Key.i2p es que es la primera plataforma RAAS conocida alojada en el Proyecto Invisible de Internet (I2P).
«Algunas familias de malware usan I2P para la comunicación (comando y control), pero este es un paso más.
Además, Pay2Key.i2p observó que marca un cambio en las operaciones y publicaciones de RAAS al foro ruso Darknet, lo que permite a cualquier persona implementar binarios de ransomware con un pago de $ 20,000 por cada ataque exitoso. Esta publicación fue creada el 20 de febrero de 2025 por un usuario llamado «Isreactive».
«A diferencia de los modelos tradicionales de ransomware (RAA), donde los desarrolladores se reducen al reducir solo las ventas de ransomware, este modelo les permite compartir solo con el atacante que ataca con éxito y compartir algunos con el atacante que lo despliega», dice Kurmin.
«Este cambio se aleja del modelo de venta de herramientas simples y crea un ecosistema más distribuido. Los desarrolladores de ransomware obtienen del éxito de sus ataques, no de la venta de la herramienta».
A partir de junio de 2025, los constructores de ransomware incluyen la opción de apuntar a los sistemas Linux, lo que indica que los actores de amenaza están mejorando y mejorando activamente la funcionalidad de sus casilleros. Mientras tanto, las contrapartes en Windows se entregan como ejecutables de Windows en los archivos de autoextrato (SFX).
También incorpora una variedad de técnicas de evasión que se pueden realizar sin obstaculizar al deshabilitar el antivirus del defensor de Microsoft y eliminar los artefactos maliciosos desplegados como parte del ataque y minimizando los senderos forenses.
«Pay2Key.i2p representa la convergencia peligrosa del ciberguardio patrocinado por el estado de Irán y el delito cibernético global», dijo Morfisek. «La operación RAAS, que tiene una conexión con Fox Kitten y Mimic, un incentivo de ganancias del 80% para los partidarios iraníes y tiene un rescate de más de $ 4 millones, amenaza a las organizaciones occidentales con ransomware altamente evasivo».
Los hallazgos se producen cuando la Agencia de Ciberseguridad e Inteligencia de los Estados Unidos advirtió sobre los ataques de represalia de Irán después de los ataques aéreos estadounidenses en tres instalaciones nucleares en todo el país.
La compañía de seguridad de Operations Technology (OT) Nozomi Networks dijo que grupos de piratería iraní como Muddywater, APT33, OilRig, Cyber Av3ngers, Fox Kitten y Homeland Justice se han observado dirigidos a organizaciones de transporte y fabricación de Estados Unidos.
«Se insta a las organizaciones de infraestructura industrial y crítica en los Estados Unidos y en el extranjero a estar atentos y considerar su postura de seguridad», dijo la compañía, y agregó que había detectado 28 ataques cibernéticos que involucran actores de amenaza iraníes entre mayo y junio de 2025.
Source link
