Een door Iran gesteunde ransomware-as-a-service (RAAS) genaamd Pay2Key is vorige maand weer opgedoken in de nasleep van het Israël-Iran-US-conflict en biedt grotere uitbetalingen aan cybercriminelen die aanvallen lanceren tegen Israël en de VS
Het financieel gemotiveerde schema, dat nu opereert onder de moniker Pay2Key.i2p, wordt beoordeeld te worden gekoppeld aan een hackgroep die wordt gevolgd als Fox Kitten (aka Lemon Sandstorm).
“Gekoppeld aan de beruchte Fox Kitten Apt Group en nauw verbonden met de bekende Mimic Ransomware, (…) Pay2Key.i2p lijkt samen te werken met of Mimic’s capaciteiten op te nemen,” zei Morphisec Security Researcher Ilia Kulmin.
“Officieel biedt de groep een winstaandeel van 80% (een stijging van 70%) aan gelieerde ondernemingen ter ondersteuning van Iran of deelnemen aan aanvallen op de vijanden van Iran, wat hun ideologische toewijding aangeeft.”
Vorig jaar onthulde de Amerikaanse regering de Modus Operandi van de Advanced Persistent Threat (APT) van het uitvoeren van ransomware -aanvallen door heimelijk samen te werken met Noescape, Ransomhouse en Blackcat (AKA AlphV) bemanningen.
Het gebruik van Pay2Key door Iraanse dreigingsacteurs gaat terug tot oktober 2020, met de aanvallen gericht op Israëlische bedrijven door bekende beveiligingskwetsbaarheden te exploiteren.
Pay2Key.I2P, per morfisec, kwam in februari 2025 ter plaatse op het toneel en claimde meer dan 51 succesvolle losgeld in vier maanden, waardoor het meer dan $ 4 miljoen aan losgeldbetalingen en $ 100.000 aan winst voor individuele operators opleverde.
Hoewel hun financiële motieven duidelijk en ongetwijfeld effectief zijn, is er ook een onderliggende ideologische agenda achter hen: de campagne lijkt een geval van cyberoorlogvoering tegen doelen in Israël en de VS
Een opmerkelijk aspect van de nieuwste variant van Pay2Key.i2p is dat het het eerste bekende RAAS -platform is dat wordt gehost op het Invisible Internet Project (I2P).
“Hoewel sommige malwarefamilies I2P hebben gebruikt voor (command-and-control) communicatie, is dit een stap verder-een ransomware-as-a-service-operatie die zijn infrastructuur rechtstreeks op I2P uitvoert,” zei Swiss Cybersecurity Company Procaft in een bericht dat in maart 2025 werd gedeeld in X in maart 2025.
Bovendien heeft Pay2Key.i2p opgemerkt op een Russisch Darknet -forum waarmee iemand de ransomware -binaire binairy kan implementeren voor een uitbetaling van $ 20.000 per succesvolle aanval, wat een verschuiving in RAAS -operaties markeert. De post is gemaakt door een gebruiker genaamd “Isreactive” op 20 februari 2025.
“In tegenstelling tot traditionele ransomware-as-a-service (RAAS) -modellen, waarbij ontwikkelaars alleen een snee nemen van de verkoop van de ransomware, stelt dit model hen in staat om het volledige losgeld te vangen van succesvolle aanvallen, en deelt alleen een deel met de aanvallers die het inzetten,” merkte Kulmin op dat moment op.
“Deze verschuiving gaat weg van een eenvoudig gereedschapsmodel, waardoor een meer gedecentraliseerd ecosysteem ontstaat, waar ransomware-ontwikkelaars verdienen aan aanvalssucces in plaats van alleen door de verkoop van de tool te verkopen.”
Vanaf juni 2025 bevat de ransomware -bouwer een optie om Linux -systemen te richten, wat aangeeft dat de dreigingsactoren actief de functionaliteit van de kluis verfijnen en verbeteren. De Windows-tegenhanger daarentegen wordt geleverd als een Windows uitvoerbaar in een zelf-excore (SFX) archief.
Het bevat ook verschillende ontwijkingstechnieken waarmee het ongehinderd kan worden door Microsoft Defender Antivirus uit te schakelen en kwaadaardige artefacten te verwijderen die zijn ingezet als onderdeel van de aanval om forensisch pad te minimaliseren.
“Pay2Key.I2P vertegenwoordigt een gevaarlijke convergentie van de door de Iraanse door de staat gesponsorde cyberoorlogvoering en wereldwijde cybercriminaliteit,” zei Morphisec. “Met banden met Fox Kitten en Mimic, een 80% winstprikkel voor de supporters van Iran en meer dan $ 4 miljoen aan losgeld, bedreigt deze RAAS -operatie westerse organisaties met geavanceerde, ontwijkende ransomware.”
De bevindingen komen als de Amerikaanse cybersecurity en inlichtingendiensten hebben gewaarschuwd voor vergeldingsaanvallen door Iran na Amerikaanse luchtaanvallen op drie nucleaire faciliteiten in het land.
Operational Technology (OT) beveiligingsbedrijf Nozomi Networks zei dat het Iraanse hackgroepen zoals Muddywater, APT33, Oilrig, Cyber AV3ngers, Fox Kitten en Homeland Justice richtte op transport- en productieorganisaties in de VS.
“Industriële en kritieke infrastructuurorganisaties in de VS en in het buitenland worden aangespoord waakzaam te zijn en hun veiligheidshouding te herzien,” zei het bedrijf, en voegde eraan toe dat het 28 cyberaanvallen had gedetecteerd met betrekking tot Iraanse dreigingsactoren tussen mei en juni 2025.
