ظهرت برمجية الفدية كخدمة (RaaS) المدعومة من إيران والمعروفة باسم Pay2Key مجددًا على الساحة في أعقاب التصعيد الأخير بين إيران وإسرائيل والولايات المتحدة، مع تقديم حوافز مالية أكبر للمجرمين السيبرانيين الذين يشنّون هجمات ضد إسرائيل والولايات المتحدة.
ويعمل النظام الجديد تحت اسم Pay2Key.I2P ويُعتقد أنه مرتبط بمجموعة القرصنة الإيرانية Fox Kitten المعروفة أيضًا باسم Lemon Sandstorm.
تعاون مع Mimic وتحفيز الأتباع الأيديولوجيين
وفقًا للباحث الأمني إيليا كولمين من شركة Morphisec، فإن Pay2Key.I2P يبدو أنه يتعاون أو يدمج قدرات برمجية الفدية Mimic ضمن عملياته، وأضاف: “تقدم المجموعة رسميًا حصة أرباح تصل إلى 80% (ارتفاعًا من 70%) للمنتسبين الذين يدعمون إيران أو يشاركون في هجمات ضد أعدائها، في إشارة إلى ارتباطهم الأيديولوجي الصريح”.
وكانت الحكومة الأمريكية قد كشفت العام الماضي عن أنشطة المجموعة من خلال تعاونها الخفي مع جهات فدية أخرى مثل NoEscape وRansomHouse وBlackCat (ALPHV).
نشاط مالي مكثف وظهور علني عبر I2P
تم رصد استخدام Pay2Key لأول مرة في أكتوبر 2020 في هجمات استهدفت شركات إسرائيلية، من خلال استغلال ثغرات أمنية معروفة. أما النسخة الجديدة Pay2Key.I2P فقد ظهرت علنًا في فبراير 2025، وادعت تنفيذ أكثر من 51 عملية فدية ناجحة خلال أربعة أشهر فقط، محققة أكثر من 4 ملايين دولار من العائدات، ونحو 100 ألف دولار أرباحًا فردية للمُشغّلين.
وتُعد هذه البرمجية أول منصة فدية كخدمة معروفة تُشغّل بنيتها التحتية بالكامل عبر شبكة I2P (مشروع الإنترنت الخفي)، وفقًا لما أكدته شركة الأمن السيبراني السويسرية PRODAFT. وكانت Pay2Key.I2P قد أعادت نشر هذا الإعلان عبر حسابها الخاص على منصة X.
نموذج تشغيل جديد وأكثر خطورة
وفي تحول لافت في أسلوب تشغيل برمجيات الفدية، نشرت المجموعة إعلانًا في منتدى روسي على الدارك ويب يتيح لأي طرف استخدام ملف الفدية مقابل 20 ألف دولار لكل هجوم ناجح. وأوضح كولمين أن “النموذج الجديد يُمكّن المطوّرين من جني كامل الفدية من الهجمات الناجحة، مع مشاركة جزء فقط من الأرباح مع من ينفذون الهجوم، خلافًا للنموذج التقليدي الذي يعتمد فقط على بيع الأداة”.
وأضاف أن هذا النموذج يخلق نظامًا بيئيًا لامركزيًا يتخطى فكرة البيع التجاري، ليصبح الربح مبنيًا على نجاح الهجوم الفعلي.
قدرات تقنية متقدمة وتوسّع في استهداف أنظمة Linux
بحلول يونيو 2025، أصبح مُنشئ برمجية Pay2Key قادرًا على استهداف أنظمة Linux، مما يشير إلى أن مطوريها يعملون على تحسين أدائها بفعالية. أما النسخة الخاصة بنظام Windows فتُسلّم عبر ملف تنفيذي مضغوط بصيغة SFX، وتستخدم تقنيات متعددة للتخفي، منها تعطيل Microsoft Defender ومسح الآثار الرقمية التي تُركت بعد تنفيذ الهجوم.
وأشارت شركة Morphisec إلى أن “Pay2Key.I2P تمثل تقاطعًا خطيرًا بين الهجمات السيبرانية المدعومة من الدولة الإيرانية والجريمة السيبرانية العالمية، مع تهديد واضح للمنظمات الغربية باستخدام فدية متقدمة وقابلة للتخفي، وحوافز مالية ضخمة”.
تحذيرات أمريكية من هجمات انتقامية على البنية التحتية
تأتي هذه التطورات في ظل تحذيرات أمريكية من هجمات انتقامية محتملة تنفذها إيران، عقب الضربات الجوية الأمريكية التي استهدفت ثلاثة منشآت نووية داخل الأراضي الإيرانية.
وأفادت شركة Nozomi Networks المختصة بأمن البنية التحتية بأن مجموعات قرصنة إيرانية مثل MuddyWater، APT33، OilRig، Cyber Av3ngers، Fox Kitten، وHomeland Justice، ركزت في الفترة الأخيرة على استهداف قطاعات النقل والصناعة في الولايات المتحدة.
وقالت الشركة إنها رصدت 28 هجومًا سيبرانيًا مرتبطًا بجهات تهديد إيرانية خلال شهري مايو ويونيو 2025، داعية المنظمات الصناعية والحيوية إلى رفع جاهزيتها الأمنية ومراجعة إجراءات الحماية الداخلية.
