Bei dem Vorfall, der sich nach Angaben der Ermittler etwa zeitgleich mit dem Beginn des militärischen Konflikts mit dem Iran ereignete, hatten die Angreifer bereits mehrere Tage vor dem Ausrollen der Ransomware ein administratives Konto im Netzwerk des Opfers kompromittiert und anschließend die Umgebung verschlüsselt. Nach der Verschlüsselung versuchten die Täter, sämtliche Spuren ihrer Aktivität sowie die Ereignisprotokolle zu beseitigen.

Cynthia Kaiser, Senior Vice President im Halcyon Ransomware Research Center und zuvor stellvertretende Leiterin in der Cyber-Abteilung des FBI, stellte die Motive des Angriffs infrage. Es handle sich um eine Gruppe, die im Auftrag der Regierung arbeite, aber nicht immer. Offen bleibe, ob die Täter im Chaos lediglich möglichst viel Geld erbeuten wollten. Das Vorgehen sei eher mit einer iranischen Regierungsoperation vereinbar, die nebenbei auch Geld verdiene.

Nach Darstellung von Halcyon durchläuft Pay2Key seit dem vergangenen Jahr eine unruhige Phase. Im Sommer bewarb die Gruppe sich verstärkt in russischen Cyberkriminellen-Foren und bot zeitweise an, die gesamte Operation für 0,15 BTC zu verkaufen, während sie zugleich aktiv neue Partner anzuwerben suchte. Im Juli 2025 änderte sie ihre internen Regeln und gewährte Affiliates 80 statt zuvor 70 Prozent der erbeuteten Lösegelder. Mindestens ein russisches Sicherheitsunternehmen erklärte, die Gruppe beginne, russische Firmen anzugreifen.

Kaiser hält den angekündigten Verkauf für ein Ablenkungsmanöver, da die Gruppe ihre Angriffe weiterhin überwiegend parallel zu iranischen militärischen Auseinandersetzungen durchführe. Halcyon verwies dennoch auf die möglichen Verbindungen zu russischen Cyberkriminellen, die ungeklärte Fragen zu Eigentümerschaft, operativer Kontrolle und künftiger Ausrichtung der Ransomware-as-a-Service-Plattform aufwürfen.

Trotz der Turbulenzen blieb Pay2Key erfolgreich. Das Sicherheitsunternehmen Morphisec zählte über einen Zeitraum von vier Monaten im Sommer 2025 insgesamt 51 Lösegeldzahlungen an die Gruppe in Höhe von rund vier Millionen US-Dollar. Seither hat die Gruppe nach diesen Angaben 170 Opfer angegriffen und acht Millionen US-Dollar an Lösegeldern eingenommen.

Die Gruppe trat erstmals 2020 in Erscheinung. Blockchain-Forscher fanden mehrere Lösegeldzahlungen israelischer Opfer, die über Excoino geleitet wurden – eine iranische Kryptobörse, die für die Kontoregistrierung einen iranischen Personalausweis verlangt. Eine US-Warnmeldung aus dem Jahr 2024 hielt fest, dass Pay2Key mit anderen Ransomware-Gruppen zusammenarbeitete und Organisationen in den USA, Israel, Aserbaidschan und den Vereinigten Arabischen Emiraten ins Visier nahm.

Der Angriff auf die US-Gesundheitsfirma ereignete sich vor dem aufsehenerregenden Vorfall beim US-Medizintechnikkonzern Stryker. Diesen Angriff reklamierte die ebenfalls iranische Gruppe Handala für sich; dabei löschten die Angreifer 200.000 Geräte des Unternehmens. Kaiser geht davon aus, dass weitere iranische Cyberangriffe stattfinden, ohne öffentlich bekannt zu werden, und rechnet mit einer Kombination aus Wiper-Angriffen, Ransomware-Attacken und Versuchen, kritische Infrastruktur über ungepatchte Schwachstellen anzugreifen.