أعلنت شركة الأمن السيبراني Morphisec عن ظهور نسخة جديدة من برنامج الفدية الإيراني الشهير Pay2Key، تحت الاسم Pay2Key.I2P، وسط تصاعد التوترات الجيوسياسية بين إيران، إسرائيل، والولايات المتحدة.
تحالف مع مجموعة Fox Kitten ودمج قدرات Mimic
يرتبط Pay2Key.I2P ارتباطًا وثيقًا بمجموعة القرصنة الإيرانية المعروفة باسم Fox Kitten (المعروفة أيضًا باسم Lemon Sandstorm) ويُعتقد أنه يدمج إمكانيات برنامج الفدية Mimic.
“يقدم البرنامج الآن حوافز مالية أعلى، تصل إلى 80% من أرباح الفدية للمنفذين المؤيدين لإيران أو المشاركين في الهجمات ضد أعدائها”،
— الباحث الأمني إيليا كولمين – Morphisec
تطور خطير: أول منصة RaaS تعمل على I2P
ما يجعل النسخة الجديدة فريدة وخطيرة هو أنها أول برنامج فدية كنظام خدمة (RaaS) يتم استضافته على شبكة I2P المجهولة، وهي خطوة غير مسبوقة في هذا النوع من الهجمات الإلكترونية.
“في حين أن بعض البرمجيات الخبيثة استخدمت I2P سابقًا للتواصل، فإن استضافة خدمة فدية كاملة على I2P يمثل تطورًا نوعيًا”، — شركة PRODAFT
تفاصيل مثيرة: عائدات مالية وتوسّع على أنظمة Linux
منذ فبراير 2025، حققت Pay2Key.I2P أكثر من 51 عملية ابتزاز ناجحة، بحصيلة تجاوزت 4 ملايين دولار في أربعة أشهر فقط، مع أرباح فردية بلغت 100 ألف دولار لبعض المشغلين.
وتشير Morphisec إلى أن المطورين قد أضافوا مؤخرًا دعمًا لأنظمة Linux، مما يُظهر مدى تطور وانتشار الهجوم. أما بالنسبة لنظام Windows، فتم توزيع البرمجية ضمن ملف تنفيذي ذاتي الاستخراج (SFX) يتضمن تقنيات تخفي متقدمة لتعطيل Microsoft Defender ومسح آثار الهجوم.
نموذج مشاركة جديد أكثر ربحية
بخلاف نماذج RaaS التقليدية التي يربح فيها المطورون من بيع الأدوات فقط، يعتمد Pay2Key.I2P على نموذج مختلف:
-
يحصل المهاجمون على نسبة من العائد فقط بعد نجاح الهجوم.
-
المطورون يحتفظون بالحصة الأكبر من الفدية.
-
سعر الدخول بلغ 20 ألف دولار للهجوم الواحد، حسب منشور على منتدى داركنِت روسي من حساب باسم “Isreactive”.
“هذا النموذج يُظهر تحوّلًا إلى منظومة أكثر لامركزية، حيث يربح المطورون من نجاح الهجوم، لا مجرد بيع الأدوات”، — Morphisec
خلفية أيديولوجية إلى جانب الدوافع المالية
رغم أن الدوافع المالية واضحة، فإن الدوافع الأيديولوجية والسياسية لا يمكن تجاهلها. فالهجمات تستهدف خصوم إيران السياسيين، مما يجعل من البرنامج جزءًا من حرب إلكترونية تمولها جهات حكومية.
تحذير أمني أمريكي من الهجمات الانتقامية
حذّرت وكالات الاستخبارات والأمن السيبراني في الولايات المتحدة من هجمات إلكترونية انتقامية بعد الضربات الجوية الأمريكية التي استهدفت ثلاثة منشآت نووية إيرانية.
وكشفت شركة Nozomi Networks أن مجموعات تهديد إيرانية مثل:
-
MuddyWater
-
APT33
-
OilRig
-
Fox Kitten
-
Cyber Av3ngers
-
Homeland Justice
استهدفت بنية تحتية حرجة وشركات نقل وتصنيع في أمريكا خلال مايو ويونيو 2025، مع توثيق 28 هجومًا سيبرانيًا.
يمثل Pay2Key.I2P مرحلة جديدة في تطور التهديدات السيبرانية، حيث يجمع بين التقنية المتقدمة، والتمويل الحكومي، ونموذج ربحي مبتكر. وهو تذكير صارخ بأن التهديدات الرقمية أصبحت جزءًا لا يتجزأ من النزاعات الجيوسياسية الحديثة.
