Um ransomware-as-a-service (RaaS) ligado ao Irã voltou a ganhar destaque após o recente conflito entre Israel, Irã e Estados Unidos, oferecendo maiores recompensas para cibercriminosos que atacarem alvos israelenses e americanos. Rebatizado como Pay2Key.I2P, o serviço promete até 80% dos lucros aos afiliados que colaborarem com ataques, reforçando uma motivação ideológica além do interesse financeiro. A nova operação, que surgiu em fevereiro de 2025, já teria realizado 51 pagamentos de resgate em apenas quatro meses, arrecadando mais de US$ 4 milhões.
Operadores individuais chegaram a lucrar até US$ 100 mil por ataque bem-sucedido. Diferentemente de versões anteriores, a infraestrutura agora está hospedada na rede anônima I2P, dificultando o rastreamento e representando um avanço no modelo de negócios do grupo. Pela primeira vez em uma operação RaaS, os desenvolvedores ficam com o valor integral dos resgates e dividem apenas uma parte com quem executa as infecções, criando um ecossistema mais descentralizado. Em fóruns na dark web, foi anunciado que qualquer pessoa pode utilizar o ransomware mediante pagamento de US$ 20 mil por ataque concluído.
A versão mais recente ampliou o alcance das ameaças, passando a incluir suporte a sistemas Linux e aplicando técnicas avançadas para evitar detecção, como a desativação do Microsoft Defender e a exclusão de vestígios no sistema comprometido. O malware também apresenta semelhanças com outras famílias de ransomware e possui ligações com grupos conhecidos por ataques direcionados a infraestruturas críticas. Autoridades de cibersegurança alertam para possíveis ofensivas contra setores industriais e de transporte após as tensões militares na região. Entre maio e junho de 2025, foram registrados pelo menos 28 ataques relacionados a atores iranianos. Empresas e organizações são aconselhadas a reforçar suas defesas cibernéticas para reduzir os riscos de comprometimento.
