有伊朗背景的勒索軟件即服務(RaaS)Pay2Key 在上月以色列和伊朗衝突升級後重出江湖,以 Pay2Key.I2P 名稱運作,向針對以色列和美國發動攻擊的網絡犯罪分子提供更高報酬。
安全研究公司 Morphisec 指出,這個計劃與被追蹤為 Fox Kitten(又稱 Lemon Sandstorm)的黑客組織有關。該集團正式向支持伊朗或參與攻擊「伊朗敵人」的附屬機構提供 80% 利潤分成,較之前的 70% 有所提升Pay2Key.I2P 聲稱在 4 個月內成功進行超過 51 次勒索付款,獲得超過 400 萬美元勒索金和 10 萬美元個人操作員利潤。
首個基於 I2P 網絡的勒索服務
Pay2Key.I2P 最新版本的顯著特點是成為首個已知託管在 Invisible Internet Project(I2P)上的 RaaS 平台。瑞士網絡安全公司 PRODAFT 在 2025 年 3 月的 X 平台帖文中表示:「雖然一些惡意軟件家族曾使用 I2P 進行指揮控制通信,但這是進一步的發展——勒索軟件即服務操作直接在 I2P 上運行其基礎設施。」該帖文隨後被 Pay2Key.I2P 自己的 X 帳戶轉發。
Morphisec 安全研究員 Ilia Kulmin 表示:「Pay2Key.I2P 與臭名昭著的 Fox Kitten APT 組織有關,並與知名的 Mimic 勒索軟件密切相關,似乎與 Mimic 合作或整合其能力。」
Pay2Key.I2P 在俄羅斯暗網論壇發布帖文,允許任何人部署勒索軟件二進制文件,每次成功攻擊可獲得 2 萬美元(約 15.6 萬港元)報酬,標誌著 RaaS 操作的轉變。該帖文由用戶名「Isreactive」於 2025 年 2 月 20 日發布。
商業模式創新提升威脅
Kulmin 指出這種新模式的特點:「與傳統的勒索軟件即服務模式不同,開發者只從銷售勒索軟件中抽成,這種模式讓他們能夠獲得成功攻擊的全部勒索金,只與部署攻擊的攻擊者分享一部分。」
「這種轉變遠離簡單的工具銷售模式,創造了更分散的生態系統,勒索軟件開發者從攻擊成功中賺錢,而不僅僅是從銷售工具中獲利。」
截至 2025 年 6 月,勒索軟件建構器包含針對 Linux 系統的選項,顯示威脅行為者正積極完善和改進加密程式的功能。Windows 版本則作為自解壓檔案中的 Windows 可執行文件交付。
該軟件還整合各種規避技術,透過禁用 Microsoft Defender Antivirus 和刪除作為攻擊一部分部署的惡意文件來最小化取證痕跡,讓其能夠不受阻礙地運行。
國家級網絡戰爭新型態
美國政府去年揭露這個高級持續性威脅(APT)組織透過秘密與 NoEscape、RansomHouse 和 BlackCat(又稱 ALPHV)團隊合作進行勒索軟件攻擊的作案手法。
Iranian 威脅行為者使用 Pay2Key 的歷史可追溯至 2020 年 10 月,當時攻擊透過利用已知安全漏洞針對以色列公司。Pay2Key.I2P 於 2025 年 2 月出現,在虛實整合的威脅格局中代表危險的新發展。
Morphisec 表示:「Pay2Key.I2P 代表伊朗國家贊助的網絡戰爭與全球網絡犯罪的危險融合。憑藉與 Fox Kitten 和 Mimic 的聯繫、對伊朗支持者的 80% 利潤激勵,以及超過 400 萬美元的勒索金,這個 RaaS 操作以先進、規避性勒索軟件威脅西方組織。」
美國基礎設施面臨報復攻擊
營運科技(OT)安全公司 Nozomi Networks 表示,已觀察到 MuddyWater、APT33、OilRig、Cyber Av3ngers、Fox Kitten 和 Homeland Justice 等伊朗黑客組織針對美國交通和製造業組織。
「敦促美國和海外的工業和關鍵基礎設施組織保持警惕並審查其安全態勢。」該公司表示,在 2025 年 5 月至 6 月期間檢測到 28 次與伊朗威脅行為者相關的網絡攻擊。
雖然 Pay2Key.I2P 的財務動機明顯且無疑有效,但背後還有潛在的意識形態議程:該活動似乎是針對以色列和美國目標發動的網絡戰爭案例。
這種有國家背景的網絡犯罪組織與商業勒索軟件操作的融合,代表網絡威脅格局的重大演變。傳統的犯罪動機與地緣政治目標結合,創造了更複雜和持久的威脅環境。
企業和政府機構需要重新評估其網絡安全策略,以應對這種混合威脅模式,既要防範傳統的財務驅動攻擊,也要準備應對具有國家背景的意識形態驅動攻擊。隨著國際緊張關係持續升級,類似的網絡戰爭活動可能會進一步增加。
