Un nuevo informe hoy de la firma de seguridad de Endpoint Morphisec Inc. revela el resurgimiento de Pay2Key, una operación de ransomware con vínculos con el grupo de amenazas persistentes avanzadas de Fox Kitten de Irán, ahora renombrado como pay2key.i2p.
Originalmente expuesto en 2020, el actor de amenaza actualizado está aprovechando un modelo de ransomware como servicio e incorporando técnicas y componentes asociados con el Ransomware imitador Familia, incluida una variante Elenor-Corp previamente analizada. Raas es un modelo de negocio de delitos cibernéticos que involucra a los desarrolladores de ransomware alquilando su malware a los afiliados, que luego llevan a cabo ataques a cambio de una parte de los pagos de rescate.
El informe advierte que con una agenda geopolítica afilada y un arsenal técnico refinado, Pay2Key.i2p presenta un riesgo creciente para las organizaciones occidentales.
La nueva operación, que se cree que estaba activa desde febrero, ya ha acumulado alrededor de $ 4 millones en pagos de rescate de más de 50 ataques exitosos en solo cuatro meses. Los afiliados se incentivan a través de una participación de ganancias del 80%, especialmente si se dirigen a adversarios de Irán, combinando motivos financieros con ideología política. La promoción de la campaña en foros de pink oscura rusa y china, así como a través de una presencia en el sitio social X, señala un despliegue cuidadosamente planificado.
El análisis de Morphisec del malware ha encontrado que el grupo está utilizando técnicas de evasión avanzada. La cadena de ataque comienza con un archivo autoextrante de 7 ZIP que ejecuta un script de cargador CMD y PowerShell de doble suitable. Este script luego deshabilita Microsoft Defender creando una exclusión de tipo de archivo para archivos .exe e implementa NodeFender, una herramienta diseñada para debilitar la seguridad del punto closing. La etapa closing consiste en ejecutar ENC-Construct.exe, una variante protegida por Themida de ransomware MIMIC, capaz de indexar archivos y ejecutar cargas útiles de forma sigilosa.
Aunque inicialmente se dirige a las instalaciones de Home windows, los operadores detrás de Pay2Key.i2p ampliaron sus capacidades con una construcción suitable con Linux en junio, ampliando su base de destino potencial. El grupo también ha introducido más recientemente técnicas de ofuscación, como el cifrado XOR, los comportamientos de señuelo y las verificaciones anti-análisis destinadas a evadir las cajas de enviornment y las herramientas de análisis dinámicos.
Para los afiliados, Pay2Key.i2p ofrece una plataforma en línea que incluye un sistema de afiliación basado en referencias, un constructor de ransomware, paneles de ganancias en tiempo actual y herramientas para la comunicación de víctimas.
Los grupos de ransomware son una moneda de diez centavos por docena en 2025, pero no todos están motivados ideológicamente. “Si bien las ganancias son un motivador, la agenda ideológica de Pay2Key.i2p es clara”, señala el informe. “Su enfoque en los objetivos occidentales, junto con la retórica vinculada a la postura geopolítica de Irán, posiciona esta campaña como una herramienta de guerra cibernética”.
Imagen: Siliconangle/Reve
Apoye nuestro contenido gratuito abierto compartiendo e interactuando con nuestro contenido y comunidad.
Únete a Thecube Alumni Belief Community
Donde los líderes tecnológicos se conectan, comparten inteligencia y crean oportunidades
11.4k+
Crimson de ex alumnos de cubos
Nivel C y técnico
Expertos en dominio
Conéctese con 11,413+ líderes de la industria de nuestra pink de líderes tecnológicos y empresariales que forman un efecto de pink confiable único.
Siliconangle Media es un líder reconocido en innovación de medios digitales que sirve al público innovador y marcas, que reúne tecnología de vanguardia, contenido influyente, concepts estratégicas y compromiso de audiencia en tiempo actual. Como la empresa matriz de Silicio, red de thecube, Investigación de THECUBE, Cube365, THECUBE AI y los superstudios de TheCube, como los establecidos en Silicon Valley y la Bolsa de Nueva York (NYSE) – Siliconangle Media opera en la intersección de medios, tecnología e IA. .
Fundada por los visionarios tecnológicos John Furrier y Dave Vellante, Siliconangle Media ha construido un poderoso ecosistema de marcas de medios digitales líderes en la industria, con un alcance de más de 15 millones de profesionales de la tecnología de élite. La nueva nube de video de AI de AI de la compañía, está abriéndose en la interacción de la audiencia, aprovechando la pink neuronal de thecubeai.com para ayudar a las empresas de tecnología a tomar decisiones basadas en datos y mantenerse a la vanguardia de las conversaciones de la industria.
