🎯 Contexte

Publié le 24 mars 2026 par Halcyon et Beazley Security, ce rapport conjoint analyse une intrusion ransomware attribuée à Pay2Key, groupe lié au gouvernement iranien actif depuis 2020, ayant ciblé une organisation de santé américaine en février 2026.

🕵️ Attribution et contexte géopolitique

Pay2Key est suivi sous plusieurs alias : Fox Kitten, Pioneer Kitten, UNC757, Parasite, RUBIDIUM, Lemon Sandstorm. En août 2024, le FBI, la CISA et le DoD Cyber Crime Center ont officiellement attribué ce groupe à l’Iran. L’activité du groupe s’intensifie systématiquement lors de tensions géopolitiques impliquant l’Iran. En fin 2025, le groupe a tenté de vendre son infrastructure RaaS (pour 0,15 BTC) sur des forums underground et sur X/Twitter, sans résolution claire.

🔗 Chaîne d’attaque observée

  • Accès initial : Compte administrateur compromis utilisé 7 jours avant toute activité significative (potentiellement via un broker d’accès initial)
  • Foothold : Utilisation de TeamViewer légitime déjà présent dans l’environnement
  • Collecte de credentials : Exécution de Mimikatz, LaZagne, ExtPassword, suivi d’un scan réseau avec Advanced IP Scanner et NetScan
  • Mouvement latéral : Utilisation de dsa.msc (console AD native) pour éviter les alertes, énumération des systèmes de backup (IBackup, Barracuda Yosemite, Windows Server Backup)
  • Exécution : Archive SFX 7zip (abc.exe) déployant setup.cmd orchestrant l’ensemble de la chaîne

🛡️ Évasion et anti-forensique

  • Faux enregistrement Avast via wsc_proxy.exe pour désactiver Windows Defender (technique documentée dans le contexte de Mustang Panda)
  • Vérification de plus de 30 produits AV via powrprof.exe
  • Suppression complète du toolkit d’évasion après chiffrement (nouveauté vs juillet 2025)
  • Effacement des journaux Windows (Security, System, Application) via wevtutil.exe
  • Abandon du packing Themida (remplacé par un binaire non packé pour contourner les règles YARA existantes)

🔐 Chiffrement

  • Algorithme : ChaCha20 avec échange de clés Curve25519
  • Clé unique 32 octets par fichier générée via SystemFunction036 (RtlGenRandom)
  • Deux modes : FULL (fichiers < 2 MiB) et INTERMITTENT (fichiers ≥ 2 MiB)
  • Extension ajoutée : .6zldh_p2k
  • Durée totale de chiffrement : ~3 heures, phase active ~1 heure
  • Suspension de BitLocker avant chiffrement pour rendre les volumes accessibles
  • Destruction des sauvegardes via bcdedit.exe, wbadmin.exe
  • Arrêt des VMs Hyper-V et démontage des VHDX
  • Communications C2 via pivot unique, utilisation de I2P pour le portail de rançon

📋 Particularités notables

  • Aucune exfiltration de données observée (rupture avec le modèle double extorsion habituel)
  • Le binaire se nomme internalement “Cobalt” (sans lien avec Cobalt Strike), compilé avec MSVC++ 2015
  • Note de rançon : C:\temp\HowToRestoreFiles.txt, paiement en cryptomonnaie via réseau I2P
  • Recrutement actif sur forums russophones avec partage de profits à 80%
  • Ciblage documenté de PME russes (signalé par F6), élargissement de la victimologie

📊 Activité financière

  • Campagne été 2025 : 51 paiements, plus de 4 millions USD collectés
  • Total depuis juillet 2025 : plus de 8 millions USD, jusqu’à 170 victimes

📄 Type d’article

Rapport d’incident et analyse technique conjointe (Halcyon + Beazley Security), visant à partager les TTPs, IOCs et évolutions techniques de Pay2Key avec la communauté CTI.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1078 — Valid Accounts (Initial Access)
  • T1133 — External Remote Services (Initial Access)
  • T1219 — Remote Access Software (Command and Control)
  • T1003 — OS Credential Dumping (Credential Access)
  • T1046 — Network Service Discovery (Discovery)
  • T1087 — Account Discovery (Discovery)
  • T1021 — Remote Services (Lateral Movement)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1562.009 — Impair Defenses: Safe Mode Boot (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1490 — Inhibit System Recovery (Impact)
  • T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)
  • T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
  • T1083 — File and Directory Discovery (Discovery)
  • T1057 — Process Discovery (Discovery)
  • T1112 — Modify Registry (Defense Evasion)
  • T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)
  • T1055 — Process Injection (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)

IOC

  • SHA256 : 099cc81f8608def0d8e8843a46a76441598171dfe0a2066e09e85c32b4199256VT · MalwareBazaar
  • SHA256 : 1c70d4280835f18654422cec1b209eec856f90344b8f02afca82716555346a55VT · MalwareBazaar
  • SHA256 : 27a46c36224bb23d5efd9de51a0545fa634d0661ae7dbfa17ae4fecaa53d2585VT · MalwareBazaar
  • SHA256 : 2fefb69e4b2310be5e09d329e8cf1bebd1f9e18884c8c2a38af8d7ea46bd5e01VT · MalwareBazaar
  • SHA256 : 30f166d91cec5a2858d93c77fe1599c8fce9938706d8ce99030faaeaf3a18b06VT · MalwareBazaar
  • SHA256 : 3ac68f46c3dcb95d942c4022dc136208fae8daa594c82743d29ef6a178f9c57aVT · MalwareBazaar
  • SHA256 : 3ba64d08edbfadec8e301673df8b36f9f7475c83587930fc9577ea366ec06839VT · MalwareBazaar
  • SHA256 : 4aaed616518f6680b37464e6cde4edc98fb1b2033540eb938b9288162a52a322VT · MalwareBazaar
  • SHA256 : 4ba297022edd35683783d291ac7c32e087db5a6fc72e7256c2f158cd009191daVT · MalwareBazaar
  • SHA256 : 68a95a0a5d0868eb3868426287feb38450a690aca60169828d7bc00166e4f014VT · MalwareBazaar
  • SHA256 : 89ad2164717bd5f5f93fbb4cebf0efeb473097408fddfc7fc7b924d790514dc5VT · MalwareBazaar
  • SHA256 : a8bfa1389c49836264cfa31fc4410b88897a78d9c2152729d28eca8c12171b9eVT · MalwareBazaar
  • SHA256 : bd4635d582413f84ac83adbb4b449b18bac4fc87ca000d0c7be84ad0f9caf68eVT · MalwareBazaar
  • SHA256 : e09912faa93808ca7de4cb858102d7647a0a6feb43dbcef7f9dd0b1948902f54VT · MalwareBazaar
  • SHA256 : e245db1b683a111fd2315eb29e68f77e3efa8c335862ce44e225a7fceaf4ce5aVT · MalwareBazaar
  • SHA256 : fb653fd840b0399cea31986b49b5ceadd28fb739dd2403a8bb05051eea5e5bbcVT · MalwareBazaar
  • SHA1 : 243797257450ffce3137de7b542547083c4e040cVT · MalwareBazaar
  • SHA1 : 86233a285363c2a6863bf642deab7e20f062b8ebVT · MalwareBazaar
  • SHA1 : 9b5fbf95622bb90cb35e06479f9405290a4d2361VT · MalwareBazaar
  • SHA1 : d154bd39ca3069491b6e31e54cf95e4dd2db27abVT · MalwareBazaar
  • SHA1 : d2500ea6564c1b297d8d3f724a7f925fc2d58194VT · MalwareBazaar
  • Fichiers : abc.exe
  • Fichiers : setup.cmd
  • Fichiers : data.bin
  • Fichiers : data1.bin
  • Fichiers : data2.bin
  • Fichiers : data3.bin
  • Fichiers : powrprof.exe
  • Fichiers : powrprof.dll
  • Fichiers : wsc_proxy.exe
  • Fichiers : wsc.dll
  • Fichiers : sfx-i386-amd64.exe
  • Fichiers : browser.exe
  • Fichiers : Everything.exe
  • Fichiers : Everything.ini
  • Fichiers : Everything2.ini
  • Fichiers : Everything32.dll
  • Fichiers : 7za.exe
  • Fichiers : HowToRestoreFiles.txt
  • Fichiers : session.tmp
  • Fichiers : tshell.exe
  • Fichiers : NS.exe
  • Fichiers : task.ps1
  • Fichiers : Passwords.txt
  • Fichiers : Users.txt
  • Fichiers : Result.txt
  • Fichiers : laZagneLog.txt
  • Fichiers : laZagneLog64.txt
  • Fichiers : mimikatz.exe
  • Fichiers : ExtPassword.exe
  • Fichiers : Advanced_IP_Scanner_2.5.4594.1 (3).exe
  • Fichiers : 2.LaZagne_AIO.bat
  • Fichiers : 2.LaZagne_x86.bat
  • Chemins : C:\Program Files\Avast Software\Avast\wsc_proxy.exe
  • Chemins : C:\temp\HowToRestoreFiles.txt
  • Chemins : C:\Users\admin\AppData\Local\Temp\7ZipSfx.000\setup.cmd

Malware / Outils

  • Pay2Key (ransomware)
  • Mimikatz (tool)
  • LaZagne (tool)
  • ExtPassword (tool)
  • Advanced IP Scanner (tool)
  • NetScan (tool)
  • TeamViewer (tool)
  • NoDefender (tool)
  • Everything (tool)
  • 7za (tool)

🟢 Indice de vérification factuelle : 68/100 (haute)

  • ⬜ halcyon.ai — source non référencée (0pts)
  • ✅ 29423 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 56 IOCs dont des hashes (15pts)
  • ✅ 1/3 IOC(s) confirmé(s) (MalwareBazaar, ThreatFox, VirusTotal) (8pts)
  • ✅ 22 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Pay2Key, Fox Kitten, Pioneer Kitten (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 1c70d4280835f186… (sha256) → VT (47/76 détections)

🔗 Source originale : https://www.halcyon.ai/ransomware-research-reports/pay2key-iranian-linked-ransomware-is-back-back-again