ظهور مجدد Pay2Key.I2P: باج‌افزاری ایرانی با انگیزه‌های ایدئولوژیک و سود بالا

Pay2Key.I2P، گروه باج‌افزاری ایرانی با ارتباط با Fox Kitten، مجدداً با مدل RaaS فعال شده و در حملاتی علیه اهداف غربی مشارکت داشته است. این گروه تبلیغ خود را در فروم‌های روسی و چینی آغاز کرده و به همکاران خود سهم ۸۰٪ از سود حملات را برای هدف قرار دادن سازمان‌های آمریکایی و اسرائیلی وعده داده است، درآمد کلی بیش از ۴ میلیون دلار گزارش شده است.

از فوریه ۲۰۲۵، گروه Pay2Key.I2P به‌عنوان نسخه جدید Pay2Key که با APT دولتی Fox Kitten مرتبط است، فعالیت خود را آغاز کرده است. این گروه با ارائه مدل Ransomware‑as‑a‑Service، تبلیغات گسترده در فروم‌های زیرزمینی و حضور در X، ظرفیت خود برای جذب همکاران را افزایش داده است. در مدت چهار ماه بیش از ۵۰ حمله موفق گزارش شده که درآمدی بالغ بر ۴ میلیون دلار به همراه داشته (برخی افراد تا ۱۰۰,۰۰۰ دلار سود خالص کسب کرده‌اند).

از ویژگی‌های برجسته این عملیات، افزایش سهم سود همکاران به ۸۰٪ برای حملات به اهدافی مانند غرب و اسرائیل بوده است—افزایشی از ۷۰٪ قبل—که همراه با پیام‌های ایدئولوژیک در راستای حمایت از ایران منتشر شده‌اند.

Pay2Key.I2P اولین گروه باج‌افزاری محسوب می‌شود که زیرساخت خود را روی شبکه I2P (پروژه اینترنت نامرئی) اجرا کرده است. استفاده از این شبکه به جای Tor برای میزبانی وب‌سایت، ردیابی فعالیت‌های آن‌ها را برای مراجع امنیتی دشوارتر می‌سازد.

تحلیل‌های فنی نشان می‌دهند که نمونه‌های Pay2Key.I2P مشابه خانواده Mimic بوده و شامل باینری Themida‑protected، اسکریپت CMD/PowerShell برای غیرفعال‌سازی Microsoft Defender و ابزارهایی مانند powrprof.exe برای فرار از تحلیل هستند. همچنین نسخهٔ لینوکسی در ژوئن ۲۰۲۵ منتشر شده که نشان‌دهنده گسترش برد حمله است.

Pay2Key.I2P نمادی از تلاقی میان جرایم سایبری و جنگ سایبری دولتی است؛ شواهد نشان می‌دهد که این کمپین بخش بزرگی از انگیزه خود را از تنش‌های ژئوپلیتیک منطقه می‌گیرد، با هدف قرار دادن مجموعه‌ای از سازمان‌ها در آمریکا و اسرائیل.

The Hacker News – Iranian‑Backed Pay2Key Ransomware Resurfaces with 80% Profit Share