Pay2Key.I2P 勒索軟體

隨著伊朗、以色列和美國之間緊張局勢的升級，一個名為Pay2Key.I2P的複雜勒索軟體即服務（RaaS）行動再次出現。在伊朗利益的支持下，這項既有經濟動機又受意識形態驅動的行動為針對以色列和美國的網路犯罪分子提供了更大的誘因。升級後的變體引入了新的基礎設施策略，並擴展了其目標範圍，標誌著勒索軟體領域令人擔憂的演變。

熟悉的威脅，新面孔

Pay2Key 首次與 2020 年 10 月的攻擊活動有關，長期以來一直與伊朗政府支持的行動有關。其最新版本 Pay2Key.I2P 據信與已知的高級持續性威脅 (APT) 組織 Fox Kitten（又名 Lemon Sandstorm）有關。值得注意的是，此次攻擊活動據信利用或整合了 Mimic 勒索軟體的功能，使其更加複雜。

更新後的RaaS模式現在提供80%的利潤分成，高於之前的70%，特別是針對與伊朗利益一致或願意對伊朗對手發動攻擊的關聯公司。這種轉變明顯體現了經濟動機和意識形態動機的融合。

基於I2P的RaaS平台的興起

Pay2Key.I2P 的獨特之處在於它使用隱形網際網路專案 (I2P) 來託管其整個基礎設施。雖然一些惡意軟體家族已經利用 I2P 實作命令與控制 (C2) 功能，但 Pay2Key.I2P 是第一個完全在此匿名網路內運行的已知 RaaS 操作。這增加了一層隱蔽性和彈性，使執法部門的打擊工作更加困難。

2025年2月，該組織聲稱已成功支付超過51筆贖金，總收入超過400萬美元，其中個別業者的收入高達10萬美元。這些數字凸顯了該行動在短時間內的規模和成功。

2025年2月20日發生了一起特別引人注目的事件，一名化名為「Isreactive」的暗網用戶在俄羅斯網路犯罪論壇上發布了該勒索軟體的廣告。該貼文允許任何人部署該二進位文件，每次成功攻擊可獲得2萬美元的報酬。這引發了RaaS動態的轉變，使其能夠讓更廣泛的參與者參與進來，並為開發者帶來更大的收益。

技術進步和隱身能力

Pay2Key.I2P 不斷改進，勒索軟體建構器自 2025 年 6 月起獲得了針對 Linux 的功能。其 Windows 變體作為自解壓縮 (SFX) 存檔中的可執行檔分發，使用高級技術來繞過檢測。

一些主要功能包括：

使用偽裝的有效載荷，例如偽裝成 Microsoft Word 文件的可執行文件，然後觸發 cmd 腳本開始加密過程並刪除勒索信

這些隱密的行為使得防禦者的偵測和補救變得更加困難。

更廣泛的威脅情勢和戰略影響

Pay2Key.I2P 不僅僅是一個犯罪集團，它代表著一個與伊朗國家利益一致的網路戰陣線。其意識形態根基透過其精準的支付激勵機制和策略性受害者選擇可見一斑。

這項威脅是在地緣政治緊張局勢加劇的背景下形成的。在美國空襲伊朗核設施後，美國情報機構已發出警告，可能遭到報復性網路攻擊。 2025年5月至6月期間，研究人員記錄了28起與伊朗相關的網路攻擊，主要針對美國的交通運輸和製造業。

這次活動背後的著名伊朗 APT 組織包括：

• 渾水
• APT33
• 石油鑽井平台
• 網路復仇者
• 狐狸小貓
• 國土正義

這些行為者越來越多地將目標鎖定在美國及其盟國的工業和關鍵基礎設施上，凸顯了加強網路安全防禦的迫切需求。

結論：為不斷演變的威脅做好準備

Pay2Key.I2P 事件鮮明地提醒我們，勒索軟體威脅正逐漸演變成地緣政治影響和網路戰的工具。憑藉其技術複雜性、高額的聯盟獎勵以及意識形態動機，這場攻擊活動的目的不再僅僅在於金錢，而在於權力和破壞。各組織，尤其是關鍵產業的組織，必須保持警惕，確保系統漏洞得到修補，並實施主動防禦策略，以應對這項新興威脅。