Un ransomware como servicio (RAAS) con respaldo iraní llamado Pay2Key ha resurgido a raíz del conflicto Israel-Irán-Estados Unidos el mes pasado, ofreciendo pagos más grandes a los cibercriminales que lanzan ataques contra Israel y los Estados Unidos.
Se evalúa que el esquema de motivación financiera, que ahora opera bajo el apodo Pay2Key.i2p, está vinculado a un género de piratería rastreado como Fox Kitten (igualmente conocido como Tormenta de arena de Lemon).
“Vinculado al patente género de Fox Kitten Apt y estrechamente vinculado al conocido ransomware MIMIC, (…) Pay2Key.i2p parece asociarse o incorporar las capacidades de MIMIC”, dijo la investigadora de seguridad de Morphisec, Ilia Kulmin.
“Oficialmente, el género ofrece una décimo de ganancias del 80% (frente al 70%) a los afiliados que apoyan a Irán o participan en ataques contra los enemigos de Irán, lo que indica su compromiso ideológico”.
El año pasado, el gobierno de EE. UU. Reveló el modus operandi de la amenaza persistente vanguardia (apt) de admitir a mango ataques de ransomware asociándose encubiertamente con los equipos de NoCape, Ransomhouse y BlackCat (AKA Alphv).
El uso de Pay2Key por parte de los actores de amenaza iraní se remonta a octubre de 2020, con los ataques dirigidos a las empresas israelíes explotando vulnerabilidades de seguridad conocidas.
Pay2Key.i2p, por morphisec, surgió en la campo en febrero de 2025, reclamando más de 51 pagos de rescate exitosos en cuatro meses, lo que logra más de $ 4 millones en pagos de rescate y $ 100,000 en ganancias para operadores individuales.
Si proporcionadamente sus motivos financieros son aparentes y sin duda efectivos, igualmente hay una memorándum ideológica subyacente detrás de ellos: la campaña parece ser un caso de lucha cibernética librada contra los objetivos en Israel y los Estados Unidos
Un aspecto importante de la última transformación de Pay2Key.i2p es que es la primera plataforma RAAS conocida que se aloja en el Plan Invisible de Internet (I2P).
“Si proporcionadamente algunas familias de malware han usado I2P para la comunicación (de comando y control), este es un paso más: una operación de ransomware como servicio ejecuta su infraestructura directamente en I2P”, dijo la compañía de seguridad cibernética suiza Product en una publicación compartida en X en marzo de 2025. La publicación fue repostada después por la cuenta X de Pay2Key.i2p.
Adicionalmente, Pay2Key.i2p ha observado imprimir en un foro ruso de Darknet que permitió a cualquiera implementar el binario de ransomware para un plazo de $ 20,000 por ataque exitoso, marcando un cambio en las operaciones de RAAS. La publicación fue realizada por un favorecido llamado “Isreactive” el 20 de febrero de 2025.
“A diferencia de los modelos tradicionales de ransomware como servicio (RAAS), donde los desarrolladores solo toman un corte de la liquidación del ransomware, este maniquí les permite capturar el rescate completo de los ataques exitosos, solo compartiendo una parte con los atacantes que lo desplegaron”, señaló Kulmin en ese momento.
“Este cambio se aleja de un maniquí simple de liquidación de herramientas, creando un ecosistema más descentralizado, donde los desarrolladores de ransomware ganan del éxito de ataque en oportunidad de solo traicionar la útil”.
A partir de junio de 2025, el constructor de ransomware incluye una opción para apuntar a los sistemas Linux, lo que indica que los actores de amenaza están refinando y mejorando activamente la funcionalidad del casillero. La contraparte de Windows, por otro flanco, se entrega como un ejecutable de Windows interiormente de un archivo de autoextraces (SFX).
Asimismo incorpora varias técnicas de esparcimiento que le permiten valer sin obstáculos al deshabilitar el antivirus del defensor de Microsoft y eliminar los artefactos maliciosos desplegados como parte del ataque para minimizar el sendero forense.
Las secuencias de infección alternativas han trabajador los ejecutables portátiles que pretenden ser documentos de Microsoft Word como punto de partida, según SonicWall Capture Labs, ayer de proceder a iniciar archivos CMD para ejecutar el proceso de secreto y soltar la nota de rescate.
“Pay2Key.i2p representa una convergencia peligrosa de la lucha cibernética patrocinada por el estado iraní y el delito cibernético general”, dijo Morphisec. “Con lazos con Fox Kitten y Mimic, un incentivo de ganancias del 80% para los partidarios de Irán, y más de $ 4 millones en rescates, esta operación RAAS amenaza a las organizaciones occidentales con ransomware evasivo innovador”.
Los hallazgos se producen cuando las agencias de ciberseguridad e inteligencia de los Estados Unidos advierten sobre los ataques de represalia de Irán a posteriori de ataques aéreos estadounidenses en tres instalaciones nucleares en el país.
La compañía de seguridad de Tecnología Operativa (OT) Nozomi Networks dijo que ha observado grupos de piratería iraníes como Muddywater, APT33, OilRig, Cyber Av3ngers, Fox Kitten y Homeland Justice para organizaciones de transporte y fabricación en los Estados Unidos
“Se insta a las organizaciones de infraestructura industrial y crítica en los Estados Unidos y en el extranjero a estar atentos y revisar su postura de seguridad”, dijo la compañía, y agregó que detectó 28 ataques cibernéticos relacionados con los actores de amenaza iraníes entre mayo y junio de 2025.
