Иранская программа-вымогатель Pay2Key.I2P возрождается с новой силой, нацеливаясь на США и Израиль под флагом кибервойны

В период с февраля по июнь 2025 года группировка продемонстрировала впечатляющую активность и успешность, заработав свыше 4 миллионов долларов США на 51 подтвержденной успешной атаке. Особую озабоченность вызывает идеологическая подоплека деятельности: платформа активно поощряет атаки на так называемых "врагов Ирана", прежде всего США и Израиль, предлагая операторам-партнерам повышенную долю в размере до 80% от выкупа за такие целевые операции, что явно указывает на поддержку или даже управление со стороны иранских государственных структур.

Техническая изощренность Pay2Key.I2P делает его исключительно опасным противником. Атака начинается с коварно замаскированного исполняемого файла в формате самораспаковывающегося архива 7-Zip (SFX). При запуске невинной на вид программы она извлекает и выполняет скрипт setup.cmd, играющий центральную роль в цепочке заражения. Хитрость скрипта заключается в его двойной природе: он написан таким образом, чтобы корректно интерпретироваться как командной строкой Windows (CMD), так и PowerShell, используя специфичный трюк с комментариями для обхода базовых систем мониторинга и безопасности. На первом критическом этапе PowerShell-компонент скрипта целенаправленно добавляет исключение для всех исполняемых файлов (.exe) в Microsoft Defender, фактически ослепляя встроенную защиту Windows и отключая сканирование ключевых процессов.

Затем происходит расшифровка портативной версии архиватора 7za.exe (7-Zip), который используется для распаковки основных вредоносных компонентов. Среди них выделяется инструмент под названием NoDefender, искусно замаскированный под легитимный системный файл powrprof.exe. Его задача - окончательно парализовать защиту Windows путем прямых манипуляций с системным реестром. Также распаковывается файловый индексатор Everything.exe, предназначенный для быстрого и эффективного поиска ценных данных на зараженной системе. Сердцем же атаки является основной вредоносный модуль enc-build.exe - это модифицированный вариант вымогателя Mimic, дополнительно защищенный сложным коммерческим пакером Themida, что серьезно затрудняет его статический анализ и детектирование сигнатурными методами.

Обновления, внедренные в марте 2025 года, демонстрируют постоянное совершенствование техник уклонения и живучести Pay2Key.I2P. В арсенал добавлена проверка наличия специфичного ключа реестра (HKEY_USERS\S-1-5-19), что является распространенным методом детектирования виртуальных сред и песочниц, используемых аналитиками безопасности. Это позволяет вредоносу прекращать выполнение в подозрительной среде, избегая разоблачения.

Еще одна новая техника включает функцию добавления сигнатуры 7-Zip (конкретно байт 72) к зашифрованным вредоносом файлам с расширением .bin *перед* их распаковкой скриптом. Эта манипуляция призвана обмануть системы безопасности, ожидающие определенных форматов файлов. Наиболее коварным нововведением стал опциональный скрипт task.ps1, реализующий концепцию "бомбы замедленного действия". Он позволяет отложить запуск основных вредоносных действий на заранее заданное время после первоначального заражения, что усложняет отслеживание источника атаки и дает злоумышленникам фору перед реагированием служб безопасности.

Операционная модель RaaS (Вымогатель как Услуга) выстроена Pay2Key.I2P с расчетом на масштабирование и привлечение широкого круга исполнителей. Группировка активно вербует операторов через русскоязычные и китайские форумы в даркнете, используя для контактов ники вроде checkmatedone или HightQuality. Для отслеживания эффективности рекрутинга и источников операторов внедрена система реферальных кодов.

Платформа, базирующаяся в анонимной сети I2P, предоставляет злоумышленникам комплексный сервис. Он включает персональный кабинет для удобной генерации уникальных вредоносных сборок, калькулятор прибыли, гарантирующий операторам 70-80% от полученного выкупа, и даже API для автоматизации переговоров с жертвами, что ускоряет процесс вымогательства. В ответ на растущий тренд, в июне 2025 года была добавлена поддержка атак на Linux-системы, расширяя потенциальную базу жертв. Для удобства операторов ведется подробный FAQ с техническими инструкциями, например, по управлению ключами шифрования, что снижает входной порог для менее опытных злоумышленников.

Идеологическая составляющая является ключевым отличием и мотиватором для Pay2Key.I2P. В личной переписке с исследователями Morphisec представители группировки не скрывали свою антиамериканскую и антиизраильскую направленность. В июне 2025 года они официально ввели "специальное предложение", гарантирующее операторам рекордные 80% прибыли исключительно за успешные атаки на инфраструктуру США и Израиля. Эта акция прямо мотивируется "поддержкой братьев в Иране", что подтверждает связь с иранскими государственными интересами. Примечательно, что, декларируя идеологическую войну, группировка одновременно использует высокий уровень анонимности, предоставляемый сетью I2P. Это позволяет им формально соблюдать видимость "перемирия" в открытом киберконфликте, одновременно ведя подрывную деятельность.

Ключевые изменения, наблюдаемые в деятельности Pay2Key.I2P в 2025 году, касаются как технологий, так и тактики. На технологическом фронте произошел переход на более стойкие криптографические алгоритмы: ChaCha20 в сочетании с x25519 для асимметричного шифрования, причем с генерацией уникальных ключей для каждого шифруемого файла, что усложняет дешифрацию даже при частичном компрометасе. Для ускорения процесса атаки на системах с большими объемами данных внедрено частичное шифрование файлов размером более 1024 КБ. Разработчики также уделили особое внимание механизмам, делающим восстановление данных без оплаты выкупа практически невозможным, усиливая давление на жертв. Тактически группировка стала активнее использовать легитимные платформы, установив стратегическое присутствие на платформе X (бывший Twitter) с января 2025 года. Зафиксированы эксперименты с англоязычными коммуникациями на традиционно русско и китайскоязычных форумах, что может свидетельствовать о попытках расширить географию операторов или целей. Для привлечения новых партнеров и демонстрации силы активно используются скриншоты подтвержденных выплат и даже видео, демонстрирующие успешный обход защитных механизмов Microsoft Defender.

Domains

• gos-usa.xyz

SHA256

• 17fc4df8ef9a92c972684cba707c3976b91bcd7f0251f42f1b63e4de0e688d6c
• 188c215fa32a445d7ffa90dc51c58bddcd62a714a8f6eac89b92574c349bf901
• 1c3f2530b2764754045039066d2c277dff4efabd4f15f2944e30b10e82f443c0
• 1c70d4280835f18654422cec1b209eec856f90344b8f02afca82716555346a55
• 1d0ec8e34703a7589533462be62c020004cfe0f7b20204f9e6c79b84cbfafc9b
• 242fa471582c2f37c17717dc260cb108584c44e86b8831382f7b2f5fc63aeb6b
• 2fefb69e4b2310be5e09d329e8cf1bebd1f9e18884c8c2a38af8d7ea46bd5e01
• 39d3ba87a27eae69a01666b0ecbb8c60259be4b3decf4cdd1d950c98c6c0b08c
• 3ba64d08edbfadec8e301673df8b36f9f7475c83587930fc9577ea366ec06839
• 60ec008c8515934c3c8d89f84bbcc8fac9144e642c0143d8230f465f4e66f62c
• 65be56f46b2aa6bb64b9e560a083a77a80a1b5a459bcba8d385aa62f8e7b153f
• 6f0b01ceb4e2cfbdfe8b92729f18eb7f4953bf9859085dc3ac81983274065d6c
• 7336b865f232f7fccb9b85524d5ebdc444344de363f77e1b1c3eaeeb3428e1a5
• 791bb67fe91e9bd129607a94714e9e79afe304271d839b369aab8813d2da4ac1
• 89ad2164717bd5f5f93fbb4cebf0efeb473097408fddfc7fc7b924d790514dc5
• 9c06ea83553c6dab3d831e1046cee237a9c1b1ed79b3b2e37ed9f3c8a38643eb
• a05c18e81911608cf2edb19907092d542548abb695e48e3217dfbec2f3dfcd04
• a8bfa1389c49836264cfa31fc4410b88897a78d9c2152729d28eca8c12171b9e
• b64305852ddb317b7839b39db602fcdda60e7658f391ff4ba52fce4dbca89089
• bd4635d582413f84ac83adbb4b449b18bac4fc87ca000d0c7be84ad0f9caf68e
• d61a55d368a1dcf570f633c7a23ae12361749c2d7000178dd9e353528c325907
• d8e423c8644b686ad3376f38f3e4df55a152ee4cac2af3079651263f002d8c26
• e237cf378e2848f687a494ab67faf9e7ec784d00090cd598a9f1e3291c97181f
• f947771556e0a0d900b21de6a37abd04c1d2e0e84d0062f61c49d792ffedeec5
• fb653fd840b0399cea31986b49b5ceadd28fb739dd2403a8bb05051eea5e5bbc

• Pay2Key_Iranian_Cyber_Warfare_Targets_the_West_Whitepaper.pdf