גרסאות לינוקס חדשות של כופרת IceFire הופעלו בפברואר כנגד רשתות ארגוניות של מספר ארגוני מדיה ובידור ברחבי העולם. לפי חוקרי אבטחת סייבר בחברת SentinelOne, ניצלו מתקפות הכופרה פגיעות דה-סריאליזציה שתוקנה לאחרונה, בתוכנת שיתוף הקבצים של IBM Aspera Faspex: "מפעילי כופרת IceFire, שבעבר התמקדו רק ב- Windows, הרחיבו כעת את מתקפות הסייבר גם ללינוקס", כתב חוקר האיומים הבכיר של SentinelOne – אלכס דלמוט. המהלך מייצג שינוי אסטרטגי, אומר חוקר הסייבר, המיישר קו בין קבוצת IceFire לקבוצות כופרה אחרות שהתפתחו גם הן למיקוד מתקפות סייבר על מערכות לינוקס: "בהשוואה ל- Windows, לינוקס קשה יותר להפעלת כופרה נגדה" כתב דלמוטה והוסיף כי "מערכות לינוקס רבות הן שרתים: וקטורי תקיפה טיפוסיים כמו דיוג או הורדה באמצעות Drive-by הם פחות יעילים ועל מנת כדי להתגבר על כך, פונים האקרים לניצול פגיעויות ביישומים".
במתקפות שנצפו על ידי SentinelOne, הפעילה גרסת IceFire Linux שני מטענים נפרדים המצפינים קבצים ואז מוחקים את הנוזקה. דלמוטה הסביר כי כופרת IceFire אינה מצפינה את כל הקבצים בלינוקס: היא נמנעת מהצפנת נתיבים מסוימים כך שחלקים קריטיים של המערכת לא יוצפנו ויישארו פעילים.
נכון לעכשיו השפיעה כופרת IceFire על קורבנות בטורקיה, איראן, פקיסטן ואיחוד האמירויות הערביות. גרסאות הלינוקס שנצפו על ידי SentinelOne לא זוהו על ידי אף אחד מ- 61 מנועי VirusTotal.
דלמוטה מציין כי ההתפתחות הזו עבור IceFire מחזקת את העובדה שכופרה המכוונות ללינוקס ממשיכה לצמוח. בעוד שהיסידות למגמת הכופרות נגד לינוקס הונחו עוד ב- 2021, הואצה המגמה ב- 2022 כאשר קבוצות כופרה הוסיפו לארסנל שלהן הצפנות לינוקס, כגון BlackBasta, Hive, Qilin, Vice Society (המכונה HelloKitty) ואחרים.
כופרה אינה הצורה היחידה של נוזקות המתמקדות יותר ויותר במערכת ההפעלה לינוקס. בדצמבר 2022 דיווחו Trend Micro על האקרים המשתמשים ב- Chaos RAT כדי לשפר את היעילות של מתקפות נגד מערכות לינוקס לכריית מטבעות קריפטוגרפיים.