Il ransomware Pay2Key, collegato a gruppi hacker iraniani, è recentemente riemerso sulla scena globale della cybercriminalità, rafforzando la sua presenza soprattutto nei confronti di organizzazioni israeliane e statunitensi. Conosciuto ora come Pay2Key.I2P, questo schema ransomware-as-a-service (RaaS) si distingue per una strategia di profitto aggressiva: offre agli affiliati l’80 percento dei proventi degli attacchi, una percentuale superiore rispetto alla media dei modelli RaaS tradizionali. Questo incremento, rispetto al precedente 70 percento, rappresenta un chiaro incentivo non solo finanziario, ma anche ideologico, rivolto a coloro che supportano la causa iraniana o conducono attacchi contro i suoi avversari.

Collaborazioni e struttura del servizio

Pay2Key.I2P è attribuito alla collaborazione con il noto gruppo Fox Kitten, noto anche come Lemon Sandstorm, e mostra legami tecnici con il ransomware Mimic. La piattaforma ha abbandonato il semplice modello di vendita del malware, adottando una struttura decentralizzata in cui i profitti derivano direttamente dal successo degli attacchi. Questo approccio permette ai creatori del ransomware di guadagnare una parte consistente dei riscatti effettivamente pagati, dividendo solo una porzione con chi materialmente esegue l’attacco.

Innovazioni tecniche e commercializzazione

Un elemento di forte innovazione è l’utilizzo dell’Invisible Internet Project (I2P) come infrastruttura principale del servizio. Pay2Key.I2P è infatti il primo grande RaaS ad essere ospitato direttamente su I2P, aumentando l’anonimato e la resilienza contro le indagini delle forze dell’ordine. La piattaforma è stata pubblicizzata anche in forum darknet russi, dove è possibile acquistare il diritto di eseguire attacchi con Pay2Key.I2P per 20.000 dollari a evento riuscito, segno di una strategia commerciale aggressiva e internazionale.

Capacità tecniche e impatti recenti

Tra febbraio e giugno 2025, Pay2Key.I2P ha dichiarato oltre 51 riscatti pagati, per un totale superiore a 4 milioni di dollari. Le varianti più recenti includono la capacità di colpire sia sistemi Windows che Linux e presentano tecniche avanzate di evasione, come la disattivazione di Microsoft Defender e la cancellazione delle tracce digitali post-attacco.

Contesto geopolitico e rischi crescenti

L’attività di Pay2Key.I2P si inserisce in un contesto geopolitico teso, con la crescita di attacchi informatici iraniani nei confronti di infrastrutture critiche occidentali. Le agenzie di sicurezza americane hanno più volte lanciato allarmi su possibili offensive di rappresaglia, mentre società di sicurezza come Nozomi Networks hanno osservato un incremento di attacchi a settori come trasporti e manifattura negli Stati Uniti da parte di diversi gruppi legati all’Iran, incluso Fox Kitten.