Morphisec, dans un article publié le 2025-07-09, dévoile la réapparition d’une menace cybernétique sophistiquée dans le sillage du conflit Israël-Iran-USA. Pay2Key.I2P, une opération de ransomware-as-a-service (RaaS) soutenue par l’Iran, a été relancée, ciblant des organisations à travers l’Occident.
Ce ransomware est lié au groupe APT notoire Fox Kitten et intègre les capacités du ransomware Mimic, précédemment analysé par Morphisec. Le groupe offre désormais une part de profit de 80% aux affiliés soutenant l’Iran ou participant à des attaques contre ses ennemis, soulignant ainsi leur engagement idéologique.
Depuis son lancement en février 2025, Pay2Key.I2P a rapidement pris de l’ampleur, avec une stratégie de marketing sur les forums darknet russes et chinois, et une présence sur X depuis janvier 2025. En quatre mois, plus de 51 rançons ont été payées, générant plus de 4 millions de dollars.
Le groupe a également élargi sa surface d’attaque en ajoutant une version du ransomware ciblant Linux en juin 2025. Cette campagne allie compétence technique et motifs géopolitiques, se positionnant comme un outil de cyber-guerre contre les cibles occidentales.
Cet article technique vise à exposer les opérations de Pay2Key.I2P et ses liens avec Mimic, tout en soulignant l’impact géopolitique de ces attaques.
🧠 TTP et IOC détecté
TTP
Ransomware-as-a-Service (RaaS), affiliation avec des motivations idéologiques, ciblage des systèmes Linux, utilisation de forums darknet pour le marketing, exploitation des tensions géopolitiques pour des cyberattaques
IOC
Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.
🔗 Source originale : https://www.morphisec.com/blog/pay2key-resurgence-iranian-cyber-warfare/