Se cree que la amenaza persistente avanzada (APT), conocida como WIRTE, es el resultado de ataques dirigidos a organizaciones gubernamentales y diplomáticas en todo el Medio Oriente desde 2020 utilizando un paquete de malware previamente no documentado llamado AshTag.
Palo Alto Networks está rastreando un grupo de actividad llamado Ashen Lepus. Los artefactos subidos a la plataforma VirusTotal indican que el actor de amenazas ha puesto sus miras en Omán y Marruecos, lo que indica una huella en expansión más allá de la Autoridad Palestina, Jordania, Irak, Arabia Saudita y Egipto.
«Ashen Repas permaneció activo durante todo el conflicto entre Israel y Hamas, lo que la diferencia de otras organizaciones relacionadas cuya actividad disminuyó durante el mismo período», dijo la firma de ciberseguridad en un informe compartido con Hacker News. «Ashen Lepus continuó su campaña después del alto el fuego en Gaza en octubre de 2025, implementando variantes de malware recientemente desarrolladas y participando en operaciones en vivo dentro de los entornos de las víctimas».
WIRTE se superpone con el grupo de habla árabe con motivaciones políticas conocido como Gaza Cyber Gang (también conocido como Blackstem, Extreme Jackals, Morerats o TA402), y se estima que ha estado activo desde al menos 2018. Según el informe de Cybereason, Morerat y APT-C-23 (también conocidos como Arid Vipers, Desert Burnish o Renegade Jackals) son dos subgrupos principales de Gaza Cyber Gang. El brazo de guerra cibernética de Hamás.
Está impulsado principalmente por el espionaje y la recopilación de inteligencia, dirigidos a agencias gubernamentales en el Medio Oriente para lograr objetivos estratégicos.
En un informe publicado en noviembre de 2024, Check Point destacó la capacidad del grupo de hackers para adaptarse y llevar a cabo tanto espionaje como sabotaje dirigiéndose a organizaciones israelíes en ataques devastadores, infectándolas con un malware de limpieza personalizado llamado SameCoin.
Esta campaña esquiva y de larga duración, detallada por la Unidad 42, se remonta a 2018 y se descubrió que había utilizado correos electrónicos de phishing que contenían señuelos relacionados con cuestiones geopolíticas en la región. El reciente aumento de invitaciones relacionadas con Turquía, como el «Acuerdo de Asociación entre Marruecos y Turquía» y la «Resolución sobre el Estado Palestino», sugiere que las organizaciones nacionales pueden convertirse en un nuevo foco de atención.
La cadena de ataque comienza con un señuelo PDF benigno que engaña al destinatario para que descargue un archivo RAR de un servicio de intercambio de archivos. La apertura del archivo desencadena una serie de eventos que dan como resultado la implementación de AshTag.
Esto implica descargar una DLL maliciosa llamada AshenLoader usando un binario benigno renombrado. Además de abrir un archivo PDF señuelo para continuar con su artimaña, esta DLL se conecta a un servidor externo y coloca dos componentes más: un ejecutable legítimo y una carga útil de DLL llamada AshenStager (también conocida como stagerx64). Esta carga útil de DLL se descarga nuevamente para iniciar el paquete de malware en la memoria y minimizar los artefactos forenses.
AshTag es una puerta trasera modular .NET diseñada para facilitar la persistencia y la ejecución remota de comandos, disfrazada de una utilidad VisualServer legítima. Internamente, su funcionalidad la realiza AshenOrchestrator, que permite la comunicación y ejecuta cargas útiles adicionales en la memoria.
Estas cargas útiles sirven para varios propósitos.
Persistencia y gestión de procesos Actualizar y eliminar captura de pantalla Explorador de archivos y sistema de gestión Huellas dactilares
En un caso, la Unidad 42 dijo que observó a actores de amenazas realizando un robo de datos real al obtener acceso a una máquina comprometida y almacenar documentos específicos en la carpeta C:\Users\Public. Se dice que estos archivos se descargaron de las bandejas de entrada de correo electrónico de las víctimas, con el objetivo final de robar documentos diplomáticos. Luego, los documentos se filtraron a un servidor controlado por un atacante utilizando la utilidad Rclone.
«Ashen Lepus continúa realizando operaciones de espionaje y ha demostrado una clara intención de continuar operando durante los recientes conflictos regionales, a diferencia de otros grupos de amenazas relacionados cuya actividad ha disminuido significativamente», concluyó la compañía. «Las actividades de los actores amenazadores durante los últimos dos años destacan particularmente sus continuos esfuerzos de recopilación de inteligencia».
Source link
