Được phát hiện vào tháng 11 và 12/2020, được gọi chung là hoạt động Pay2Key, các cuộc tấn công dường như do Fox Kitten thực hiện.
Còn được gọi là Parisite và PIONEER KITTEN, hoạt động liên quan đến Fox Kitten được cho là sự cộng tác giữa hai nhóm tin tặc Iran là APT33 (Elfin, Magnallium, Holmium, and Refined Kitten) và APT34 (OilRig, Greenbug). Chúng thường sử dụng nhiều công cụ tự phát triển và tấn công mã nguồn mở, nhắm mục tiêu vào các VPN của doanh nghiệp cũng như bộ điều khiển phân phối ứng dụng BIG-IP của F5 Networks.
Trong một báo cáo mới đây, ClearSky lưu ý rằng, một loạt các cuộc tấn công mới nhắm vào các công ty công nghiệp, bảo hiểm và hậu cầu ở Israel dường như đều là do nhóm Fox Kitten. Vào tháng 11 và 12/2020, trong các cuộc tấn công liên quan tới việc lây nhiễm ransomware để mã hóa các máy chủ và máy trạm, nhóm tin tặc nhắm vào hàng chục công ty của Israel.
Ngoài các cuộc tấn công ransomware gây hiểu lầm, chúng còn thực hiện các cuộc tấn công vào những chuỗi cung ứng, trong đó lợi dụng khả năng truy nhập hoặc thu thập thông tin từ các tổ chức mà chúng đã vi phạm trước đó.
Cũng giống như các chiến dịch trước đó, những kẻ tấn công nhắm mục tiêu vào các lỗ hổng đã được biết đến trước đó. Theo ClearSky, chiến dịch Pay2Key dường như nhằm mục đích tạo ra sự hoang mang, vì những kẻ tấn công làm rò rỉ dữ liệu mà chúng lọc được thay vì đòi tiền chuộc.
Thông thường, những kẻ tấn công yêu cầu mức tiền chuộc từ 7 - 9 bitcoin và công khai một phần thông tin nhạy cảm về các nạn nhân trên một trang web để gây áp lực, buộc các nhà chức trách phải trả tiền. Các nhà nghiên cứu bảo mật phát hiện ra rằng ransomware Pay2Key không yêu cầu kết nối với máy chủ điều khiển và ra lệnh (C&C) để hoạt động.
Các lỗ hổng bị nhắm mục tiêu trong các cuộc tấn công này bao gồm CVE-2018-13379 (Fortinet FortiOS), CVE-2018-1579 (Palo Alto Networks VPN), CVE-2019-19781 (Citrix NetScaler) và CVE-2020-5902 (F5 BIG-IP). Ngoài ra, còn có các tài khoản RDP và Microsoft Exchange Server.