Una amenaza persistente vanguardia (APT) conocida como ANFITRIONES se ha atribuido a ataques dirigidos a entidades gubernamentales y diplomáticas en todo el Medio Oriente con un paquete de malware previamente indocumentado denominado AshTag desde 2020.
La Dispositivo 42 de Palo Stop Networks está rastreando el comunidad de actividad bajo el nombre Lepus cenizo. Los artefactos subidos a la plataforma VirusTotal muestran que el actor de amenazas ha inscrito a Omán y Marruecos, lo que indica una expansión del valor activo más allá de la Autoridad Palestina, Jordania, Irak, Arabia Saudita y Egipto.
La compañía dijo a The Hacker News que había observado “decenas de señuelos únicos” diseminados por todo Oriente Medio, lo que indica una “campaña persistente y de amplio valor” limitada a entidades gubernamentales y diplomáticas de la región. Se estima que más de una docena de entidades han sido atacadas, aunque se sospecha que el número positivo podría ser viejo.
“Ashen Lepus permaneció persistentemente activo durante todo el conflicto entre Israel y Hamas, distinguiéndolo de otros grupos afiliados cuyas actividades disminuyeron durante el mismo período”, dijo la compañía de ciberseguridad en un referencia compartido con The Hacker News. “Ashen Lepus continuó con su campaña incluso luego del parada el fuego en Lazada de octubre de 2025, desplegando variantes de malware recientemente desarrolladas y participando en actividades prácticas adentro de los entornos de las víctimas”.
Se estima que WIRTE, que se superpone con un comunidad de deje árabe y con motivaciones políticas conocido como Lazada Cyber Gang (además conocido como Blackstem, Extreme Jackal, Molerats o TA402), está activo desde al menos 2018. Según un referencia de Cybereason, tanto Molerats como APT-C-23 (además conocido como Arid Viper, Desert Varnish o Renegade Jackal) son dos subgrupos principales de la división de erradicación cibernética de Hamás.
Está impulsado principalmente por el espionaje y la sumario de inteligencia, dirigido a entidades gubernamentales en el Medio Oriente para cumplir con sus objetivos estratégicos.
“Específicamente, la conexión entre WIRTE (Ashen Lepus) y la Facción Cibernética de Lazada en universal se evidencia principalmente por superposiciones y similitudes de códigos”, dijeron los investigadores de la Dispositivo 42. “Esto sugiere que, si admisiblemente operan de forma independiente, las herramientas fueron desarrolladas por entidades cercanas y probablemente comparten fortuna de crecimiento. Asimismo hemos gastado superposiciones en la victimología de otros grupos”.
En un referencia publicado en noviembre de 2024, Check Point atribuyó al equipo de hackers a ataques destructivos dirigidos exclusivamente a entidades israelíes para infectarlas con un malware de desinterés personalizado denominado SameCoin, destacando su capacidad para adaptarse y sobrellevar a sitio tanto espionaje como boicoteo.
Se ha descubierto que la campaña esquiva y de larga duración detallada por la Dispositivo 42, que se remonta a 2018, aprovecha los correos electrónicos de phishing con señuelos relacionados con asuntos geopolíticos en la región. Un fresco aumento de señuelos relacionados con Turquía –por ejemplo, “Acuerdo de asociación entre Marruecos y Turquía” o “Proyectos de resolución sobre el Estado de Palestina”- sugiere que las entidades en el país pueden ser una nueva radio de atención.
Las cadenas de ataques comienzan con un señuelo PDF inofensivo que engaña a los destinatarios para que descarguen un archivo RAR de un servicio de intercambio de archivos. La comprensión del archivo desencadena una sujeción de eventos que resulta en la implementación de AshTag.
Esto implica el uso de un binario complaciente renombrado para descargar una DLL maliciosa denominada AshenLoader que, por otra parte de desplegar un archivo PDF señuelo para continuar con la artimaña, contacta a un servidor forastero para colocar dos componentes más, un ejecutable genuino y una carga útil de DLL citación AshenStager (además conocido como stagerx64) que nuevamente se descarga para iniciar el paquete de malware en la memoria para minimizar los artefactos forenses.
AshTag es una puerta trasera modular .NET diseñada para suministrar la persistencia y la ejecución remota de comandos, mientras se hace ocurrir por una utilidad VisualServer legítima para ocurrir desapercibida. Internamente, sus funciones se implementan mediante un AshenOrchestrator para permitir las comunicaciones y ejecutar cargas enseres adicionales en la memoria.
Estas cargas enseres tienen diferentes propósitos:
- Persistencia y diligencia de procesos.
- Puesta al día y aniquilación
- captura de pantalla
- Explorador y diligencia de archivos.
- Sistema de huellas dactilares
En un caso, la Dispositivo 42 dijo que observó al actor de amenazas accediendo a una máquina comprometida para realizar un robo de datos práctico al acumular documentos de interés en la carpeta C:UsersPublic. Se dice que estos archivos se descargaron de la bandeja de entrada del correo electrónico de la víctima y su objetivo final era robar documentos relacionados con la diplomacia. Luego, los documentos fueron filtrados a un servidor controlado por un atacante utilizando la utilidad Rclone.
Se considera que el robo de datos probablemente haya ocurrido entre la población de víctimas en universal, particularmente en entornos donde no existen capacidades de detección avanzadas.
“Ashen Lepus sigue siendo un actor de espionaje persistente, lo que demuestra una clara intención de continuar sus operaciones durante el fresco conflicto regional, a diferencia de otros grupos de amenazas afiliados, cuya actividad disminuyó significativamente”, concluyó la compañía. “Las actividades de los actores de amenazas a lo abundante de los últimos dos abriles en particular resaltan su compromiso con la sumario constante de inteligencia”.
