برنامج الفدية Pay2Key.I2P
في أعقاب تصاعد التوترات بين إيران وإسرائيل والولايات المتحدة، عادت عملية متطورة لبرامج الفدية كخدمة (RaaS) تُسمى Pay2Key.I2P للظهور. بدعم من المصالح الإيرانية، تُقدم هذه الحملة ذات الدوافع المالية والأيديولوجية حوافز متزايدة لمجرمي الإنترنت الذين يستهدفون إسرائيل والولايات المتحدة. وقد أدخلت النسخة المُحدثة تكتيكات جديدة للبنية التحتية ووسّعت قدراتها على الاستهداف، مما يُمثل تطورًا مُقلقًا في مجال برامج الفدية.
جدول المحتويات
تهديد مألوف بوجه جديد
ارتبطت حملة Pay2Key، التي رُبطت لأول مرة بهجمات في أكتوبر 2020، بالعمليات التي ترعاها الدولة الإيرانية. ويُعتقد أن أحدث إصداراتها، Pay2Key.I2P، مرتبط بمجموعة Fox Kitten (المعروفة أيضًا باسم Lemon Sandstorm)، وهي مجموعة معروفة بالتهديدات المتقدمة المستمرة (APT). ويُعتقد أن هذه الحملة تستفيد من ميزات برنامج الفدية Mimic أو تُدمجها، مما يزيد من تعقيدها.
يقدم نموذج RaaS المُحدّث الآن حصة ربحية تبلغ 80%، بزيادة عن النسبة السابقة البالغة 70%، خاصةً للجهات التابعة التي تدعم المصالح الإيرانية أو تلك التي ترغب في شن هجمات ضد خصوم إيران. يُظهر هذا التحول مزيجًا واضحًا من الدوافع المالية والأيديولوجية.
صعود منصة RaaS القائمة على I2P
ما يميز Pay2Key.I2P هو استخدامه لمشروع الإنترنت غير المرئي (I2P) لاستضافة بنيته التحتية بالكامل. في حين أن بعض عائلات البرمجيات الخبيثة استخدمت I2P لوظائف القيادة والتحكم (C2)، فإن Pay2Key.I2P هو أول عملية RaaS معروفة تعمل بالكامل ضمن هذه الشبكة مجهولة المصدر. هذا يضيف طبقة من التخفي والمرونة تُعقّد جهود الإزالة من قِبل جهات إنفاذ القانون.
في فبراير 2025، أعلنت المجموعة عن أكثر من 51 عملية دفع فدية ناجحة، محققةً إيرادات إجمالية تجاوزت 4 ملايين دولار، وحقق المشغلون الأفراد أرباحًا تصل إلى 100 ألف دولار. تؤكد هذه الأرقام حجم العملية ونجاحها في فترة زمنية قصيرة.
وقع حدثٌ بارزٌ بشكلٍ خاص في 20 فبراير 2025، عندما أعلن مستخدمٌ للشبكة المظلمة، يُدعى "إسرايكتف"، عن برنامج الفدية على منتدى روسيّ للجرائم الإلكترونية. سمح هذا المنشور لأيّ شخصٍ بنشر البرنامج الثنائيّ مقابل مكافأة قدرها 20,000 دولار أمريكيّ لكلّ هجومٍ ناجح، ممّا أدّى إلى تحوّلٍ في ديناميكيات RaaS من خلال تمكين مشاركةٍ أوسع وزيادةٍ في إيرادات المطورين.
التطورات التقنية والقدرات الخفية
يُظهر Pay2Key.I2P تحسينًا مستمرًا، حيث اكتسب منشئ برامج الفدية قدرات استهداف Linux اعتبارًا من يونيو 2025. يتم توزيع متغير Windows الخاص به كملف قابل للتنفيذ داخل أرشيف استخراج ذاتي (SFX)، باستخدام تقنيات متقدمة لتجاوز الاكتشاف.
تتضمن بعض الميزات الرئيسية ما يلي:
استخدام حمولات مقنعة، مثل الملفات القابلة للتنفيذ التي تظهر على أنها مستندات Microsoft Word، والتي تقوم بعد ذلك بتشغيل نصوص cmd لبدء عملية التشفير وإسقاط ملاحظات الفدية
وتجعل هذه السلوكيات الخفية عملية الكشف والمعالجة أكثر صعوبة بالنسبة للمدافعين.
مشهد تهديد أوسع وتداعيات استراتيجية
Pay2Key.I2P ليس مجرد منظمة إجرامية؛ بل يُمثل واجهة حرب إلكترونية تتماشى مع مصالح الدولة الإيرانية. تتجلى دوافعه الأيديولوجية بوضوح من خلال حوافز الدفع الموجهة واختياره الاستراتيجي للضحايا.
يتكشف هذا التهديد في ظل تصاعد التوترات الجيوسياسية. ففي أعقاب الغارات الجوية الأمريكية على المنشآت النووية الإيرانية، أصدرت وكالات الاستخبارات الأمريكية تحذيرات من هجمات إلكترونية انتقامية محتملة. وبين مايو ويونيو 2025، سجل الباحثون 28 هجومًا إلكترونيًا نُسبت إلى إيران، ركزت بشكل رئيسي على قطاعي النقل والتصنيع في الولايات المتحدة.
وتشمل مجموعات APT الإيرانية البارزة التي تقف وراء هذه الحملات ما يلي:
- مياه موحلة
- APT33
- منصة النفط
- المتسللون السيبرانيون
- قطة الثعلب
- العدالة الوطنية
وتستهدف هذه الجهات بشكل متزايد البنية التحتية الصناعية والحيوية في كل من الولايات المتحدة والدول الحليفة، مما يؤكد الحاجة الملحة لتحسين دفاعات الأمن السيبراني.
الخلاصة: الاستعداد للتهديد المتطور
يُذكرنا Pay2Key.I2P بوضوح بتطور تهديدات برامج الفدية إلى أدوات للتأثير الجيوسياسي والحرب السيبرانية. بفضل التطور التقني، ومكافآت الشركاء المرتفعة، والدوافع الأيديولوجية، لا تقتصر هذه الحملة على المال فحسب، بل تشمل أيضًا النفوذ والاضطراب. يجب على المؤسسات، وخاصةً تلك العاملة في القطاعات الحيوية، أن تظل يقظة، وأن تضمن إصلاح ثغرات أنظمتها، وأن تطبق استراتيجيات دفاعية استباقية لمكافحة هذا الخطر الناشئ.
