伊朗駭客組織 Pay2Key 重出江湖，重金吸引網路罪犯攻擊「伊朗的敵人」

有伊朗背景的勒索軟體即服務（RaaS）Pay2Key 6 月以色列和伊朗衝突升級後重出江湖，以 Pay2Key.I2P 之名運作，提供高額報酬給網路攻擊以色列和美國的罪犯。

安全研究公司 Morphisec 指出，這消息與 Fox Kitten（又稱 Lemon Sandstorm）駭客組織有關。支持伊朗或參與攻擊「伊朗敵人」的附屬機構可獲 80% 利潤分成，較之前 70% 提升。Pay2Key.I2P 聲稱四個月內成功 50 餘次勒索付款，獲超過 400 萬美元贖金和 10 萬美元個人利潤。

首個基於 I2P 網路的勒索服務

Pay2Key.I2P 最新版特點是為首個已知 Invisible Internet Project（I2P）託管的 RaaS 平台。瑞士網路安全公司 PRODAFT 3 月 X 發文：「雖然一些惡意軟體家族曾用 I2P 指揮控制通訊，但這發展更進步──勒索軟體即服務操作直接在 I2P 執行基礎操作。」Pay2Key.I2P 還轉貼這發文。

Morphisec 安全研究員 Ilia Kulmin 表示：「Pay2Key.I2P 與惡名昭彰的 Fox Kitten APT 組織有關，並與知名 Mimic 勒索軟體有關，似乎與 Mimic 合作或整合。」

Pay2Key.I2P 於 5 月 20 日在俄羅斯暗網論壇發文，允許任何人部署勒索軟體二進制文件，每次成功攻擊可獲 2 萬美元報酬，顯示 RaaS 操作方法轉變。發文者為「Isreactive」帳號。

Kulmin 指新模式特點：「與傳統勒索軟體即服務不同，開發者只能抽成銷售勒索軟體，新模式能獲成功攻擊的全部贖金，但只與攻擊者分享部分酬勞。此轉變遠離簡單工具銷售模式，創造更分散生態系統，勒索軟體開發者能從攻擊成功賺錢，不只是銷售工具獲利。」

截至 6 月，勒索軟體建構器含 Linux 系統選項，顯示犯罪者也積極完善改進加密程式功能。Windows 版為自解壓檔案的 Windows 可執行文件。軟體還整合各種規避技術，禁用 Microsoft Defender Antivirus 和刪除攻擊部分部署的惡意文件以最小化取證痕跡，讓其不受阻執行。

國家級網路戰爭新型態

美國政府去年揭露高級持續性威脅（APT）組織祕密與 NoEscape、RansomHouse 和 BlackCat（又稱 ALPHV）團隊合作勒索軟體攻擊的作案手法。Iranian 使用 Pay2Key 的歷史可追溯至 2020 年 10 月，用已知安全漏洞攻擊以色列公司。Pay2Key.I2P 今年 2 月出現，虛實整合的現在代表更危險罪犯出現。

Morphisec 表示：「Pay2Key.I2P 代表伊朗國家贊助的網路戰爭與全球網路犯罪危險融合。憑著 Fox Kitten 和 Mimic 聯絡、伊朗支持者 80% 利潤激勵，以及超過 400 萬美元贖金，這 RaaS 操作以先進、規避性勒索軟體威脅西方組織。」

美國基礎設施面臨報復攻擊

營運科技（OT）安全公司 Nozomi Networks 表示，已觀察到 MuddyWater、APT33、OilRig、Cyber Av3ngers、Fox Kitten 和 Homeland Justice 等伊朗駭客組織瞄準美國交通和製造業組織。「敦促美國和海外工業和關鍵基礎設施組織保持警惕並審查資安準備」，5~6 月檢測到 28 次與伊朗罪犯有關的網路攻擊。

雖然 Pay2Key.I2P 財務動機明顯且有效，但背後還有潛在意識形態：活動似乎大量以色列和美國為目標。有國家政治背景的網路犯罪組織與商業勒索軟體結合，代表網路攻擊格局的重大演變。傳統犯罪動機與地緣政治結合，創造更複雜和長時間的威脅環境。

企業和政府機構需重新評估網路安全策略，以應付混合型威脅，既要防範傳統財務驅動攻擊，也要應付有國家背景的意識形態攻擊。國際緊張關係持續升級，類似網路戰爭一定會增加。