L'Iran relance le groupe Pay2Key avec des pseudo-ransomwares destructeurs et recrute des affiliés sur les forums russes pour cibler les entreprises américaines.
En bref
- L'Iran relance les opérations Pay2Key en recrutant des affiliés sur les forums cybercriminels russes.
- Les attaques utilisent des « pseudo-ransomwares » qui chiffrent les données mais agissent en réalité comme des wipers destructeurs.
- Les cibles prioritaires sont des entreprises américaines et israéliennes, avec un risque juridique pour les victimes qui paieraient la rançon.
Ce qui s'est passé
Le groupe Pay2Key, lié aux services de renseignement iraniens, a repris ses opérations offensives avec une stratégie renouvelée, selon un rapport publié par Dark Reading le 31 mars 2026. L'Iran recrute désormais activement des affiliés sur les forums cybercriminels russophones, offrant jusqu'à 80 % des rançons collectées pour attirer des opérateurs expérimentés.
La particularité de cette nouvelle campagne réside dans l'utilisation de « pseudo-ransomwares » : des malwares qui se présentent comme des rançongiciels classiques avec demande de rançon, mais dont le véritable objectif est la destruction des données. Le chiffrement appliqué est en réalité irréversible, apparentant ces outils à des wipers déguisés. Cette tactique permet à l'Iran de causer des dommages maximaux tout en brouillant l'attribution, selon les chercheurs cités par Dark Reading.
Pay2Key agit également comme courtier en accès initial (Initial Access Broker) pour d'autres groupes de ransomware, fournissant des points d'entrée dans les réseaux d'entreprises américaines et israéliennes. Cette double casquette — destructeur et facilitateur — illustre la convergence croissante entre les opérations étatiques iraniennes et l'écosystème cybercriminel russophone, d'après The Hacker News.
Pourquoi c'est important
Cette résurgence de Pay2Key pose un défi majeur pour les entreprises ciblées. Au-delà de la perte de données, les victimes qui envisageraient de payer la rançon s'exposent à des sanctions de l'OFAC (Office of Foreign Assets Control du Trésor américain), Pay2Key étant lié à des entités sous sanctions internationales. La frontière de plus en plus floue entre hacktivisme étatique et cybercriminalité à but lucratif complique considérablement la réponse à incident et les décisions stratégiques des RSSI.
Ce qu'il faut retenir
- Les pseudo-ransomwares iraniens chiffrent sans possibilité de récupération : des sauvegardes hors-ligne testées régulièrement sont la seule parade efficace.
- Payer une rançon liée à Pay2Key expose l'entreprise à des poursuites pour violation de sanctions internationales.
- Les entreprises des secteurs stratégiques doivent renforcer leur surveillance des indicateurs de compromission liés aux groupes APT iraniens.
Comment distinguer un ransomware classique d'un pseudo-ransomware destructeur ?
Les pseudo-ransomwares présentent souvent des anomalies techniques : absence de mécanisme de déchiffrement fonctionnel, clés de chiffrement générées aléatoirement sans stockage côté attaquant, ou corruption intentionnelle des en-têtes de fichiers avant chiffrement. En cas d'incident, une analyse forensique approfondie par des experts permet de déterminer si la récupération des données est techniquement possible avant toute décision de paiement.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactTélécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
TeamPCP compromet des environnements cloud via des credentials volés
Le groupe TeamPCP exploite des credentials volés lors d'attaques supply chain pour compromettre des environnements AWS, Azure et SaaS en production.
Le CMA ouvre une enquête sur Microsoft pour ses licences cloud
Le régulateur britannique CMA lance une enquête sur les licences cloud de Microsoft, accusé de verrouiller les entreprises sur Azure via des tarifs préférentiels.
VMware Aria Operations : RCE critique exploitée activement
CVE-2026-22719 : injection de commandes critique dans VMware Aria Operations exploitée activement. CISA KEV, trois failles chaînables corrigées par Broadcom.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire