Pay2Key.I2P 勒索软件

随着伊朗、以色列和美国之间紧张局势的升级，一个名为Pay2Key.I2P的复杂勒索软件即服务（RaaS）行动再次出现。在伊朗利益的支持下，这一既有经济动机又受意识形态驱动的行动为针对以色列和美国的网络犯罪分子提供了更大的激励。升级后的变体引入了新的基础设施策略，并扩展了其目标范围，标志着勒索软件领域令人担忧的演变。

熟悉的威胁，新面孔

Pay2Key 首次与 2020 年 10 月的攻击活动有关，长期以来一直与伊朗政府支持的行动有关联。其最新版本 Pay2Key.I2P 据信与已知的高级持续性威胁 (APT) 组织 Fox Kitten（又名 Lemon Sandstorm）有关。值得注意的是，此次攻击活动据信利用或整合了 Mimic 勒索软件的功能，使其更加复杂。

更新后的RaaS模式现在提供80%的利润分成，高于之前的70%，特别是针对与伊朗利益一致或愿意对伊朗对手发动攻击的关联公司。这种转变明显体现了经济动机和意识形态动机的融合。

基于I2P的RaaS平台的兴起

Pay2Key.I2P 的独特之处在于它使用隐形互联网项目 (I2P) 来托管其整个基础设施。虽然一些恶意软件家族已经利用 I2P 实现命令与控制 (C2) 功能，但 Pay2Key.I2P 是第一个完全在此匿名网络内运行的已知 RaaS 操作。这增加了一层隐蔽性和弹性，使执法部门的打击工作更加困难。

2025年2月，该组织声称已成功支付超过51笔赎金，总收入超过400万美元，其中个别运营者的收入高达10万美元。这些数字凸显了该行动在短时间内的规模和成功。

2025年2月20日发生了一起特别引人注目的事件，一名化名为“Isreactive”的暗网用户在俄罗斯网络犯罪论坛上发布了该勒索软件的广告。该帖子允许任何人部署该二进制文件，每次成功攻击可获得2万美元的报酬。这引发了RaaS动态的转变，使其能够让更广泛的参与者参与进来，并为开发者带来更大的收益。

技术进步和隐身能力

Pay2Key.I2P 不断改进，勒索软件构建器自 2025 年 6 月起获得了针对 Linux 的功能。其 Windows 变体作为自解压 (SFX) 存档中的可执行文件分发，使用高级技术来绕过检测。

一些主要功能包括：

使用伪装的有效载荷，例如伪装成 Microsoft Word 文档的可执行文件，然后触发 cmd 脚本开始加密过程并删除勒索信

这些隐秘的行为使得防御者的检测和补救变得更加困难。

更广泛的威胁形势和战略影响

Pay2Key.I2P 不仅仅是一个犯罪集团，它代表着一个与伊朗国家利益一致的网络战阵线。其意识形态根基通过其精准的支付激励机制和战略性受害者选择可见一斑。

这一威胁是在地缘政治紧张局势加剧的背景下形成的。在美国空袭伊朗核设施后，美国情报机构已发出警告，称可能遭到报复性网络攻击。2025年5月至6月期间，研究人员记录了28起与伊朗相关的网络攻击，主要针对美国的交通运输和制造业。

此次活动背后的著名伊朗 APT 组织包括：

• 浑水
• APT33
• 石油钻井平台
• 网络复仇者
• 狐狸小猫
• 国土正义

这些行为者越来越多地将目标锁定在美国及其盟国的工业和关键基础设施上，凸显了加强网络安全防御的迫切需要。

结论：为不断演变的威胁做好准备

Pay2Key.I2P 事件鲜明地提醒我们，勒索软件威胁正逐渐演变成地缘政治影响和网络战的工具。凭借其技术复杂性、高额的联盟奖励以及意识形态动机，这场攻击活动的目的已不再仅仅在于金钱，而在于权力和破坏。各组织，尤其是关键行业的组织，必须保持警惕，确保系统漏洞得到修补，并实施主动防御策略，以应对这一新兴威胁。