Punti chiave
Pay2Key non è solo un nome che ricompare nel sottobosco del cybercrime. È un caso che racconta come il ransomware possa diventare uno strumento di pressione geopolitica, capace di mescolare denaro, sabotaggio e messaggio politico. Il gruppo, descritto da più analisti come collegato all’Iran, è tornato al centro dell’attenzione dopo una nuova intrusione contro una struttura sanitaria statunitense, avvenuta a fine febbraio 2026.
Un vecchio attore, una nuova fase
La storia di Pay2Key comincia nel 2020, quando il gruppo emerse con campagne contro organizzazioni israeliane e con un modello di doppia estorsione, cioè cifratura dei dati e minaccia di pubblicazione delle informazioni sottratte. Le prime indagini collegarono presto l’operazione a un ambiente iraniano, in particolare alla galassia di Fox Kitten, nome con cui vengono indicati diversi cluster di minaccia associati all’Iran.
Quel primo Pay2Key era già anomalo. Non sembrava un gruppo interessato solo al riscatto. Il profilo operativo, le vittime e le tracce finanziarie suggerivano un obiettivo più ampio: colpire soggetti percepiti come ostili a Teheran, in primo luogo in Israele. La dimensione politica non sostituiva il crimine. Lo inglobava.
Negli anni successivi il nome è rimasto vivo nel dibattito tra ricercatori, ma è nel 2025 che Pay2Key riappare con forza, questa volta come ransomware-as-a-service e con il suffisso I2P, segno di un’evoluzione tecnica e operativa. La nuova fase prevedeva anche un modello di incentivi molto aggressivo, con una quota dei profitti elevata per gli affiliati che colpivano gli “nemici” dell’Iran.
Dal ransomware alla guerra ibrida
Il punto più interessante non è solo la persistenza del gruppo, ma il modo in cui il suo uso del ransomware si avvicina a una forma di guerra ibrida. I ricercatori descrivono Pay2Key come un’operazione che unisce infrastrutture criminali, motivazioni ideologiche e obiettivi strategici. In pratica, una piattaforma che può essere usata per fare soldi e, allo stesso tempo, per disturbare servizi, intimidire avversari e mandare segnali politici.
La nuova ondata di attività ha mostrato una struttura più sofisticata. Le analisi di sicurezza hanno evidenziato tecniche di evasione, anti-forensics e una capacità di agire rapidamente una volta ottenuto l’accesso iniziale. Nel caso della struttura sanitaria americana, l’attaccante sarebbe rimasto dentro la rete per giorni prima di lanciare la cifratura, completata in circa tre ore. È un dato che conta. Indica pianificazione, pazienza e una conoscenza non banale dell’ambiente colpito.
In alcune campagne recenti, il gruppo avrebbe anche modificato il proprio arsenale per aumentare la compatibilità con ambienti Windows e Linux, migliorando la resilienza dei suoi strumenti e la capacità di aggirare i controlli difensivi. Questo è il segnale di un’operazione che non vive di improvvisazione, ma di iterazione costante.
Perché la sanità
La scelta della sanità come bersaglio non è casuale. Gli ospedali e le strutture sanitarie hanno margini di tolleranza bassissimi. Un attacco ransomware in questo settore non produce solo danni economici. Può bloccare servizi essenziali, rallentare cure, creare caos amministrativo e mettere sotto pressione personale e pazienti.
Nel caso emerso a marzo 2026, i ricercatori hanno riferito che non ci sarebbero evidenze di furto dati, un elemento che distingue l’episodio da molte campagne ransomware tradizionali. Se confermato, questo dettaglio rafforzerebbe l’idea che l’operazione non puntasse soltanto all’estorsione, ma anche alla disruption, cioè alla paralisi dell’organizzazione colpita.
È un passaggio chiave. Quando un attacco non cerca necessariamente il massimo guadagno economico, ma vuole soprattutto creare impatto operativo, il ransomware diventa qualcosa di più vicino a un’arma politica. E il confine tra cybercrime e operazione influenzata dallo Stato si fa ancora più sfumato.
Il peso del contesto geopolitico
Le nuove analisi del 2026 insistono su un punto: l’attività di Pay2Key cresce in parallelo alle tensioni tra Iran, Stati Uniti e Israele. Non è solo una coincidenza temporale. È un pattern che gli osservatori avevano già visto negli anni precedenti. Quando lo scenario regionale si scalda, il gruppo sembra riattivarsi con maggiore intensità.
Questo rende Pay2Key un caso emblematico di come il cyber spazio venga usato come estensione del conflitto politico. Non servono bombardamenti o missili per produrre pressione. A volte basta una rete violata, un reparto bloccato, un sistema sanitario paralizzato per qualche ora o qualche giorno. Il danno simbolico e pratico si sommano.
C’è anche un elemento di ambiguità che rende la vicenda ancora più interessante. Alcuni ricercatori notano che Pay2Key è stato recentemente commercializzato anche nei circuiti del cybercrime come servizio per affiliati, con una logica di profitto tipica delle gang ransomware più strutturate. Eppure, il contesto operativo, i target e i messaggi interni mostrano un chiaro orientamento politico. È una doppia natura che complica ogni attribuzione netta.
Il ritorno di un nome
Il ritorno di Pay2Key nel 2026 non va letto come una semplice ripresa di attività criminale. È il sintomo di una strategia più ampia, in cui un marchio già noto viene riattivato, aggiornato e inserito dentro un quadro di tensioni internazionali. In altri termini, il nome serve anche come segnale. Dice ai bersagli che il gruppo è vivo. Dice agli affiliati che c’è un guadagno possibile. Dice agli avversari che la pressione non si è fermata.
Le fonti inglesi più recenti concordano su un punto: il gruppo appare oggi più robusto, più attento all’evasione forense e più interessato agli obiettivi occidentali, in particolare quelli statunitensi e israeliani. È una traiettoria che merita attenzione, perché mostra come il ransomware stia entrando stabilmente nel linguaggio della competizione tra Stati.
Per chi osserva la cybersecurity solo come questione tecnica, Pay2Key è un caso di studio. Per chi guarda al quadro più ampio, è un promemoria. Nel mondo digitale, un gruppo criminale può diventare rapidamente un attore geopolitico informale. E quando succede, il danno non si misura solo in file cifrati o in richieste di riscatto, ma nel messaggio che passa attraverso quelle macchine ferme e quei sistemi bloccati.
