🔍 Contexte

Publié le 28 mars 2026 par Beazley Security Labs en collaboration avec Halcyon, cet article présente une analyse technique approfondie d’une intrusion récente attribuée au groupe Pay2Key, un acteur de menace d’origine iranienne actif depuis 2020. L’analyse couvre à la fois les évolutions techniques du groupe et une chaîne d’attaque complète observée lors d’un incident en Q1 2026 dans une organisation de santé américaine.

🎭 Attribution et contexte géopolitique

Pay2Key est suivi sous plusieurs noms : Fox Kitten, Pioneer Kitten, UNC757, Parasite, RUBIDIUM, Lemon Sandstorm. En août 2024, le FBI, la CISA et le DoD Cyber Crime Center ont officiellement attribué le groupe à l’Iran, qualifiant ses opérations d’« information operation » visant les infrastructures américaines et israéliennes. Les paiements de rançon ont historiquement transité par Excoino, une plateforme d’échange de cryptomonnaies iranienne. L’activité du groupe s’intensifie systématiquement lors de tensions géopolitiques impliquant l’Iran.

📈 Évolution opérationnelle (2025-2026)

  • Augmentation du partage de profits affiliés de 70% à 80% en juillet 2025
  • Recrutement agressif sur des forums cybercriminels russophones
  • Au moins 51 paiements de rançon sur 4 mois en été 2025, totalisant plus de 4 millions de dollars
  • Plus de 8 millions de dollars collectés et jusqu’à 170 victimes depuis juillet 2025
  • Tentative de vente de l’infrastructure RaaS complète pour 0,15 BTC en octobre 2025 sur le forum « onion13 », sans résolution claire
  • Ciblage inhabituel de PME russes signalé par la société F6

⚔️ Chaîne d’attaque observée (Q1 2026)

Accès initial et dormance : Première utilisation d’un compte admin compromis 7 jours avant toute activité significative. Vecteur d’accès initial non déterminé (destruction de logs). Possible achat d’accès via un Initial Access Broker.

Établissement de la persistance : Utilisation de TeamViewer déjà présent dans l’environnement pour un accès interactif discret.

Collecte de credentials : Exécution de Mimikatz, LaZagne et ExtPassword, suivie de scans réseau avec Advanced IP Scanner et ns.exe (NetScan).

Mouvement latéral : Utilisation de dsa.msc (console AD native) pour éviter les alertes. Énumération des systèmes de backup : IBackup, Barracuda Yosemite, Windows Server Backup.

Exécution du ransomware (7 étapes) :

  1. Archive SFX abc.exe extrayant setup.cmd
  2. Déchiffrement de data.bin via PowerShell en mémoire (sans écriture disque)
  3. Évasion via faux enregistrement Avast dans Windows Security Center (toolkit « No Defender » : powrprof.exe, powrprof.dll, wsc_proxy.exe, wsc.dll) — désactivation de Windows Defender
  4. Suspension de BitLocker pour accès aux volumes chiffrés
  5. Indexation du filesystem via Everything.exe, configuration power management en haute performance, arrêt des VMs Hyper-V et démontage des VHDX
  6. Destruction des sauvegardes : bcdedit, wbadmin, suppression du catalogue WSB
  7. Chiffrement avec ChaCha20 + échange de clés Curve25519, extension .6zldh_p2k, note de rançon HowToRestoreFiles.txt

Anti-forensics : Suppression complète du toolkit d’évasion après chiffrement, effacement des journaux Windows (Security, System, Application) via wevtutil.exe.

🔐 Caractéristiques techniques notables

  • Chiffrement ChaCha20 avec clés 32 octets uniques par fichier (nonce 12 octets nuls)
  • Deux modes : FULL (fichiers < 2 MiB) et INTERMITTENT (≥ 2 MiB)
  • Génération de clés via SystemFunction036 (RtlGenRandom)
  • Suppression du packing Themida (présent dans les versions précédentes) — les règles YARA basées sur Themida ne fonctionnent plus
  • Communications C2 via un seul pivot, utilisation de I2P (Invisible Internet Project) pour le portail de rançon
  • Chiffrement d’une infrastructure complète en ~3 heures (phase active ~1 heure)
  • PDB path exposant la structure interne du projet ; binaire compilé avec MSVC++ 2015
  • Le binaire se nomme en interne « Cobalt » (sans lien avec Cobalt Strike)

🏥 Incident Q1 2026

L’incident documenté concerne une organisation de santé américaine. Absence notable d’exfiltration de données, s’écartant du modèle habituel de double extorsion. Aucune résolution connue sur la vente de l’infrastructure RaaS.

📋 Type d’article

Il s’agit d’une analyse technique et rapport d’incident combinés, produits par deux équipes de sécurité (Beazley Security Labs et Halcyon), visant à documenter les TTPs actualisés de Pay2Key et à fournir des IOCs exploitables pour la communauté CTI.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Pay2Key (state-sponsored)

TTP

  • T1078 — Valid Accounts (Initial Access)
  • T1133 — External Remote Services (Initial Access)
  • T1003.001 — OS Credential Dumping: LSASS Memory (Credential Access)
  • T1003 — OS Credential Dumping (Credential Access)
  • T1046 — Network Service Discovery (Discovery)
  • T1018 — Remote System Discovery (Discovery)
  • T1021 — Remote Services (Lateral Movement)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)
  • T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)
  • T1553 — Subvert Trust Controls (Defense Evasion)
  • T1490 — Inhibit System Recovery (Impact)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1087.002 — Account Discovery: Domain Account (Discovery)
  • T1482 — Domain Trust Discovery (Discovery)
  • T1083 — File and Directory Discovery (Discovery)
  • T1057 — Process Discovery (Discovery)
  • T1112 — Modify Registry (Defense Evasion)
  • T1055 — Process Injection (Defense Evasion)
  • T1560 — Archive Collected Data (Collection)
  • T1219 — Remote Access Software (Command and Control)
  • T1573 — Encrypted Channel (Command and Control)
  • T1485 — Data Destruction (Impact)

IOC

  • SHA256 : 099cc81f8608def0d8e8843a46a76441598171dfe0a2066e09e85c32b4199256
  • SHA256 : 1c70d4280835f18654422cec1b209eec856f90344b8f02afca82716555346a55
  • SHA256 : 27a46c36224bb23d5efd9de51a0545fa634d0661ae7dbfa17ae4fecaa53d2585
  • SHA256 : 2fefb69e4b2310be5e09d329e8cf1bebd1f9e18884c8c2a38af8d7ea46bd5e01
  • SHA256 : 30f166d91cec5a2858d93c77fe1599c8fce9938706d8ce99030faaeaf3a18b06
  • SHA256 : 3ac68f46c3dcb95d942c4022dc136208fae8daa594c82743d29ef6a178f9c57a
  • SHA256 : 3ba64d08edbfadec8e301673df8b36f9f7475c83587930fc9577ea366ec06839
  • SHA256 : 4aaed616518f6680b37464e6cde4edc98fb1b2033540eb938b9288162a52a322
  • SHA256 : 4ba297022edd35683783d291ac7c32e087db5a6fc72e7256c2f158cd009191da
  • SHA256 : 68a95a0a5d0868eb3868426287feb38450a690aca60169828d7bc00166e4f014
  • SHA256 : 89ad2164717bd5f5f93fbb4cebf0efeb473097408fddfc7fc7b924d790514dc5
  • SHA256 : a8bfa1389c49836264cfa31fc4410b88897a78d9c2152729d28eca8c12171b9e
  • SHA256 : bd4635d582413f84ac83adbb4b449b18bac4fc87ca000d0c7be84ad0f9caf68e
  • SHA256 : e09912faa93808ca7de4cb858102d7647a0a6feb43dbcef7f9dd0b1948902f54
  • SHA256 : e245db1b683a111fd2315eb29e68f77e3efa8c335862ce44e225a7fceaf4ce5a
  • SHA256 : fb653fd840b0399cea31986b49b5ceadd28fb739dd2403a8bb05051eea5e5bbc
  • SHA1 : 243797257450ffce3137de7b542547083c4e040c
  • SHA1 : 86233a285363c2a6863bf642deab7e20f062b8eb
  • SHA1 : 9b5fbf95622bb90cb35e06479f9405290a4d2361
  • SHA1 : d154bd39ca3069491b6e31e54cf95e4dd2db27ab
  • SHA1 : d2500ea6564c1b297d8d3f724a7f925fc2d58194
  • Fichiers : abc.exe
  • Fichiers : setup.cmd
  • Fichiers : data.bin
  • Fichiers : data1.bin
  • Fichiers : data2.bin
  • Fichiers : data3.bin
  • Fichiers : 7za.exe
  • Fichiers : powrprof.exe
  • Fichiers : powrprof.dll
  • Fichiers : wsc_proxy.exe
  • Fichiers : wsc.dll
  • Fichiers : sfx-i386-amd64.exe
  • Fichiers : browser.exe
  • Fichiers : Everything.exe
  • Fichiers : Everything.ini
  • Fichiers : Everything2.ini
  • Fichiers : Everything32.dll
  • Fichiers : HowToRestoreFiles.txt
  • Fichiers : enc-build.exe
  • Fichiers : Advanced_IP_Scanner_2.5.4594.1 (3).exe
  • Fichiers : ns.exe
  • Chemins : C:\Program Files\Avast Software\Avast\wsc_proxy.exe
  • Chemins : C:\Program Files\Avast Software\Avast
  • Chemins : C:\Users\admin\AppData\Local\Temp\7ZipSfx.000\setup.cmd
  • Chemins : C:\temp\HowToRestoreFiles.txt

Malware / Outils

  • Pay2Key (ransomware)
  • Mimikatz (tool)
  • LaZagne (tool)
  • ExtPassword (tool)
  • Advanced IP Scanner (tool)
  • NetScan (tool)
  • TeamViewer (tool)
  • Everything (tool)
  • No Defender (tool)
  • 7-Zip SFX (tool)
  • Mimic (ransomware)

🔗 Source originale : https://labs.beazley.security/articles/pay2key-iranian-linked-ransomware-is-back-back-again

🖴 Archive : https://web.archive.org/web/20260326123808/https://labs.beazley.security/articles/pay2key-iranian-linked-ransomware-is-back-back-again