شهدت ساحة الأمن السيبراني عودة لبرنامج الفدية الخبيث Pay2Key، والذي يُعتقد أنه مدعوم من إيران، في أعقاب التوترات الأخيرة بين إيران وإسرائيل والولايات المتحدة. يأتي هذا التطور مصحوباً بوعود بعوائد مالية أكبر للمجرمين السيبرانيين الذين يشنون هجمات تستهدف إسرائيل والولايات المتحدة.
تعمل هذه المنصة، المعروفة الآن باسم Pay2Key.I2P، تحت مظلة مخطط مالي يهدف إلى جني الأرباح، وترتبط بمجموعة اختراق تُعرف باسم Fox Kitten، أو Lemon Sandstorm.
عودة Pay2Key: تهديد سيبراني مدعوم من إيران
صرح باحث الأمن في شركة Morphisec، إليا كولمين، بأن Pay2Key.I2P، المرتبطة بمجموعة Fox Kitten المعروفة، وتعتمد بشكل كبير على برمجيات Mimic الخبيثة، يبدو أنها تتعاون مع Mimic أو تستفيد من قدراتها.
وأضاف أن المجموعة تقدم رسمياً نسبة 80% من الأرباح للمشاركين الداعمين لإيران أو الذين يشاركون في هجمات ضد “أعداء إيران”، مما يشير إلى التزام إيديولوجي واضح.
يُذكر أن الحكومة الأمريكية كانت قد كشفت في العام الماضي عن أسلوب عمل هذه المجموعة المتقدمة، والذي يتضمن تنفيذ هجمات برمجيات الفدية عبر شراكات سرية مع جهات مثل NoEscape وRansomHouse وBlackCat (ALPHV).
تاريخ الهجمات ونمو Pay2Key.I2P
تعود استخدامات Pay2Key من قبل جهات فاعلة إيرانية إلى أكتوبر 2020، حيث استهدفت هجمات شركات إسرائيلية عبر استغلال ثغرات أمنية معروفة.
ظهر Pay2Key.I2P في فبراير 2025، مدعياً تحقيق أكثر من 51 عملية دفع فدية ناجحة خلال أربعة أشهر، مما حقق له أكثر من 4 ملايين دولار من مدفوعات الفدية، و100 ألف دولار كأرباح للمشغلين الفرديين.
بالإضافة إلى دوافعها المالية الواضحة، تحمل الحملة أجندة إيديولوجية، حيث تبدو كحرب سيبرانية ضد أهداف في إسرائيل والولايات المتحدة.
منصة I2P: نقلة نوعية في عمليات برامج الفدية
من أبرز جوانب النسخة المطورة Pay2Key.I2P هو كونها أول منصة لخدمة برامج الفدية RaaS يتم استضافتها على شبكة Invisible Internet Project (I2P).
أشارت شركة PRODAFT السويسرية للأمن السيبراني في مارس 2025 إلى أن هذا التطور يعتبر خطوة أبعد من مجرد استخدام I2P للاتصالات، حيث يتم تشغيل البنية التحتية لعملية RaaS بأكملها مباشرة على I2P.
علاوة على ذلك، لوحظ أن Pay2Key.I2P يعرض خدماته على منتدى روسي على الويب المظلم، حيث يمكن لأي شخص نشر برامج الفدية مقابل 20 ألف دولار بعد كل هجوم ناجح. وقد تم هذا الإعلان بواسطة مستخدم يدعى “Isreactive” في 20 فبراير 2025.
نموذج أعمال جديد وخصائص متطورة
أوضح كولمين أن هذا النموذج مختلف عن نماذج RaaS التقليدية، حيث أن المطورين يجنون أرباحاً من بيع البرنامج الفدية نفسه. في المقابل، يسمح هذا النموذج الجديد للمطورين بالحصول على كامل مبلغ الفدية، ويشاركون جزءاً منه فقط مع المهاجمين الذين ينفذون الهجوم.
يُمثل هذا التحول ابتعاداً عن نموذج بيع الأدوات البسيط، وخلق نظام بيئي أكثر لامركزية، حيث يكسب مطورو برامج الفدية من نجاح الهجوم بدلاً من مجرد بيع الأداة.
اعتباراً من يونيو 2025، يتضمن برنامج بناء برامج الفدية خياراً لاستهداف أنظمة لينكس، مما يدل على أن الجهات الفاعلة تعمل على تحسين وظائف البرنامج بشكل مستمر. أما النسخة الموجهة لنظام ويندوز، فتُقدم كملف تنفيذي مصحوب بأرشيف ذاتي الاستخراج.
كما أنها تتضمن تقنيات تهرب متنوعة تسمح لها بالعمل دون عوائق، وذلك من خلال تعطيل برنامج Microsoft Defender Antivirus وحذف الآثار الخبيثة التي تم إنشاؤها كجزء من الهجوم لتقليل فرصة اكتشافها.
أساليب الهجوم والإصابة
كشفت شركة SonicWall Capture Labs عن استخدام طرق إصابة بديلة، حيث يتم استغلال ملفات قابلة للتنفيذ تبدو كوحدات معالجة Microsoft Word كنقطة انطلاق.
بعد ذلك، يتم تشغيل ملفات أوامر لتنفيذ عملية التشفير وترك مذكرة الفدية.
تحذيرات وتحركات متزايدة
أكدت شركة Morphisec أن Pay2Key.I2P يمثل تقارباً خطيراً بين الحرب السيبرانية التي تدعمها الدولة الإيرانية والجريمة السيبرانية العالمية.
مع ارتباطاته بمجموعتي Fox Kitten وMimic، وحوافزه الربحية البالغة 80% لدعم إيران، وتحقيق أكثر من 4 ملايين دولار كفدية، فإن عمليات RaaS هذه تشكل تهديداً للمنظمات الغربية ببرامج فدية متقدمة ومتملصة.
تأتي هذه النتائج في وقت حذرت فيه الوكالات الأمريكية للأمن السيبراني والاستخبارات من هجمات انتقامية من إيران رداً على ضربات جوية أمريكية استهدفت ثلاث منشآت نووية إيرانية.
من جهتها، رصدت شركة Nozomi Networks المتخصصة في أمن التكنولوجيا التشغيلية (OT) حملات استهداف لشركات النقل والتصنيع في الولايات المتحدة من قبل مجموعات اختراق إيرانية مثل MuddyWater وAPT33 وOilRig وCyber Av3ngers وFox Kitten وHomeland Justice.
حثت الشركة المنظمات التي تدير البنية التحتية الصناعية والحيوية في الولايات المتحدة وخارجها على البقاء يقظة ومراجعة إجراءاتها الأمنية.
كما أشارت إلى رصد 28 هجوماً سيبرانياً مرتبطاً بجهات تهديد إيرانية بين شهري مايو ويونيو 2025.