Intensiverer RaaS-aktiviteter med geopolitiske incitamenter
Den iransk-associerede ransomware-aktør Pay2Key.I2P har i løbet af foråret 2025 intensiveret sine aktiviteter og ændret incitamentsstrukturen for sine samarbejdspartnere, de såkaldte affiliates. Gruppen opererer i et klassisk ransomware-as-a-service (RaaS)-setup og tilbyder nu op til 80 % af løsesummerne til partnere, der målretter angreb mod udvalgte geopolitiske modstandere. Det markerer en strategisk drejning, hvor økonomisk kriminalitet kobles tættere til statslige interesser.
Cyberkriminelle indgår dermed mere eller mindre direkte i statslige dagsordener, hvor de kriminelle ikke opererer for egen vindings skyld, men går staters ærinder og sikkert også honoreres for det.
Strategisk rekalibrering og ideologisk signalværdi
Ifølge en ny rapport fra cybersikkerhedsfirmaet Morphisec har Pay2Key.I2P indsamlet over 4 millioner USD i løsepenge siden marts, fremgår det af en artikel i The Record, der har læst ned i rapporten. Gruppen har samtidig ændret sin kommunikation på russisksprogede fora, hvor den eksplicit opfordrer til angreb mod stater, der betegnes som fjendtlige over for Iran. Det indikerer en forskydning fra udelukkende økonomisk motiverede kampagner til en hybridform, hvor økonomisk kriminalitet anvendes som strategisk virkemiddel.
Denne udvikling er ikke isoleret. Den minder om den nordkoreanske stats anvendelse af fjernarbejdere i vestlige tech-virksomheder, hvor personer med falske identiteter opnår ansættelse og bruger adgangen til at udtrække både finansielle midler og teknologisk viden. I begge tilfælde ses en udnyttelse af eksisterende infrastrukturer og tillidsmodeller til at fremme statslige interesser gennem ikke-konventionelle midler. Dette må være den indlysende analyse af de aktuelle forskydninger i trusselsbilledet.
Kryptering og sløring
Morphisec vurderer, at Pay2Key.I2P samarbejder med operatører bag Mimic-ransomwaren, som benytter kode fra den opløste Conti-gruppe. Conti’s værktøjer blev lækket i forbindelse med gruppens støtte til Ruslands invasion af Ukraine, og har siden været genstand for omfattende genbrug i det kriminelle økosystem.
Pay2Key.I2P’s tekniske profil viser en høj grad af modularitet og tilpasningsevne, fremgår det. Gruppen benytter krypteringsteknikker og sløring, der gør det vanskeligt at spore og analysere angrebene. Derudover ses en stigende brug af I2P-netværket til kommunikation og datatransport, hvilket komplicerer efterforskningen yderligere.
Gruppen hævder at have gennemført over 50 angreb siden foråret, men det er uklart, hvor mange af disse der har haft strategisk betydning eller været rettet mod kritisk infrastruktur. Det er dog sandsynligt, at en del af angrebene har haft sekundære mål såsom datatyveri, rekognoscering eller destabilisering, hedder det i The Record.
Geopolitisk kontekst og hybridtrusler
Aktiviteten fra Pay2Key.I2P kan dermed ses i lyset af det bredere trusselsbillede, hvor statssponsorerede og statssympatiserende aktører i stigende grad anvender RaaS-modeller til at opnå både økonomiske og politiske mål. Det er ikke nyt, at cyberkriminalitet og geopolitik overlapper, men denne sag illustrerer, hvordan økonomiske incitamenter bruges aktivt til at styre angreb i en geopolitisk kontekst, konkluderer The Record.