Một nhóm tấn công dai dẳng nâng cao (APT) được biết đến với tên WIRTE đã bị quy kết thực hiện các cuộc tấn công nhắm vào các thực thể chính phủ và ngoại giao trên khắp Trung Đông bằng một bộ công cụ độc hại chưa từng được ghi nhận trước đây có tên AshTag từ năm 2020.
Palo Alto Networks đang theo dõi nhóm hoạt động này dưới tên Ashen Lepus. Các bằng chứng được tải lên nền tảng VirusTotal cho thấy tác nhân đe dọa đã nhắm mục tiêu vào Oman và Morocco, cho thấy sự mở rộng phạm vi hoạt động ra ngoài Chính quyền Palestine, Jordan, Iraq, Ả Rập Xê Út và Ai Cập.
"Ashen Lepus vẫn hoạt động bền bỉ trong suốt cuộc xung đột Israel-Hamas, khác biệt so với các nhóm liên quan khác có hoạt động giảm đi trong cùng thời kỳ," công ty an ninh mạng cho biết trong một báo cáo được chia sẻ với The Hacker News. "Ashen Lepus tiếp tục chiến dịch của mình ngay cả sau thỏa thuận ngừng bắn ở Gaza vào tháng 10 năm 2025, triển khai các biến thể phần mềm độc hại mới phát triển và thực hiện các hoạt động trực tiếp trong môi trường của nạn nhân."
WIRTE, trùng lặp với một nhóm nói tiếng Ả Rập, có động cơ chính trị được biết đến với tên Gaza Cyber Gang (còn gọi là Blackstem, Extreme Jackal, Molerats, hoặc TA402), được đánh giá là đã hoạt động từ ít nhất năm 2018. Theo một báo cáo từ Cybereason, cả Molerats và APT-C-23 (còn gọi là Arid Viper, Desert Varnish, hoặc Renegade Jackal) là hai nhóm phụ chính của bộ phận chiến tranh mạng Hamas.
Mục đích chính của nhóm này là gián điệp và thu thập thông tin tình báo, nhắm mục tiêu vào các thực thể chính phủ ở Trung Đông để đạt được các mục tiêu chiến lược của chúng.
Trong một báo cáo được công bố vào tháng 11 năm 2024, Check Point đã quy kết nhóm tin tặc này thực hiện các cuộc tấn công phá hoại độc quyền nhắm vào các thực thể Israel để lây nhiễm phần mềm độc hại wiper tùy chỉnh được gọi là SameCoin, làm nổi bật khả năng thích ứng và thực hiện cả hoạt động gián điệp lẫn phá hoại của chúng.
Chiến dịch dài hạn, khó nắm bắt được Unit 42 mô tả chi tiết, kéo dài từ năm 2018, đã được phát hiện lợi dụng các email phishing với mồi nhử liên quan đến các vấn đề địa chính trị trong khu vực. Sự gia tăng gần đây các mồi nhử liên quan đến Thổ Nhĩ Kỳ – ví dụ: "Thỏa thuận hợp tác giữa Morocco và Thổ Nhĩ Kỳ" hoặc "Dự thảo nghị quyết liên quan đến Nhà nước Palestine" – cho thấy các thực thể ở nước này có thể là một lĩnh vực trọng tâm mới.
Chuỗi tấn công bắt đầu bằng một tệp PDF mồi nhử vô hại, lừa người nhận tải xuống một tệp lưu trữ RAR từ một dịch vụ chia sẻ tệp. Mở tệp lưu trữ sẽ kích hoạt một chuỗi sự kiện dẫn đến việc triển khai AshTag.
Điều này liên quan đến việc sử dụng một tệp nhị phân lành tính đã được đổi tên để sideload một DLL độc hại được đặt tên là AshenLoader. Ngoài việc mở một tệp PDF mồi nhử để duy trì vỏ bọc, nó còn liên hệ với một máy chủ bên ngoài để thả thêm hai thành phần nữa: một tệp thực thi hợp pháp và một DLL payload có tên AshenStager (còn gọi là stagerx64). Thành phần này sau đó lại được sideload để khởi chạy bộ công cụ độc hại trong bộ nhớ nhằm giảm thiểu các dấu vết pháp y.
AshTag là một backdoor .NET mô-đun được thiết kế để tạo điều kiện duy trì quyền truy cập và thực thi lệnh từ xa, đồng thời giả mạo là một tiện ích VisualServer hợp pháp để tránh bị phát hiện. Bên trong, các tính năng của nó được thực hiện thông qua một AshenOrchestrator để kích hoạt giao tiếp và chạy các payload bổ sung trong bộ nhớ.
Các payload này phục vụ các mục đích khác nhau:
- Duy trì quyền truy cập và quản lý tiến trình
- Cập nhật và gỡ bỏ
- Chụp màn hình
- Duyệt và quản lý tệp
- Thu thập thông tin hệ thống (System fingerprinting)
Trong một trường hợp, Unit 42 cho biết họ đã quan sát thấy tác nhân đe dọa truy cập vào một máy tính bị xâm nhập để thực hiện hành vi trộm cắp dữ liệu trực tiếp bằng cách sắp xếp các tài liệu quan trọng trong thư mục C:\Users\Public. Các tệp này được cho là đã được tải xuống từ hộp thư đến email của nạn nhân, với mục tiêu cuối cùng là đánh cắp các tài liệu liên quan đến ngoại giao. Các tài liệu sau đó đã được exfiltrate đến một máy chủ do kẻ tấn công kiểm soát bằng tiện ích Rclone.
"Ashen Lepus vẫn là một tác nhân gián điệp dai dẳng, thể hiện rõ ý định tiếp tục các hoạt động của mình trong suốt cuộc xung đột khu vực gần đây – không giống như các nhóm đe dọa liên quan khác, vốn có hoạt động giảm đáng kể," công ty kết luận. "Các hoạt động của các tác nhân đe dọa trong hai năm qua đặc biệt cho thấy cam kết của họ đối với việc thu thập thông tin tình báo liên tục."
