Una amenaza persistente avanzada (APT), conocida como ANFITRIONES se ha atribuido a ataques a instalaciones gubernamentales y diplomáticas en todo el Medio Oriente desde 2020 utilizando un paquete de malware previamente indocumentado llamado AshTag.
Palo Alto Networks rastrea el clúster de actividad con este nombre Lepus de ceniza. Los artefactos subidos a la plataforma VirusTotal muestran que el actor de amenazas tiene como objetivo Omán y Marruecos, lo que indica una expansión de su alcance operativo más allá de la Autoridad Palestina, Jordania, Irak, Arabia Saudita y Egipto.
“Ashen Lepus permaneció persistentemente activo durante todo el conflicto entre Israel y Hamas, distinguiéndose de otros grupos afiliados cuya actividad disminuyó durante el mismo período”, dijo la firma de ciberseguridad en un informe proporcionado a The Hacker News. “Ashen Lepus continuó su campaña incluso después del alto el fuego en Gaza en octubre de 2025, utilizando variantes de malware recientemente desarrolladas y realizando actividades prácticas en los entornos de las víctimas”.
Se cree que WIRTE, que se superpone con un grupo de habla árabe y con motivaciones políticas llamado Gaza Cyber Gang (también conocido como Blackstem, Extreme Jackal, Molerats o TA402), ha estado activo desde al menos 2018. Según un informe de Cybereason, tanto Molerats como APT-C-23 (también conocido como Arid Viper, Desert Varnish o Renegade Jackal) son dos subgrupos principales de la división de guerra cibernética de Hamás.
Está impulsado principalmente por el espionaje y la recopilación de inteligencia y apunta a entidades gubernamentales en el Medio Oriente para lograr sus objetivos estratégicos.
En un informe publicado en noviembre de 2024, Check Point atribuyó al grupo de piratas informáticos ataques destructivos dirigidos exclusivamente a empresas israelíes para infectarlas con un malware de limpieza personalizado llamado SameCoin, destacando su capacidad para adaptarse y llevar a cabo tanto espionaje como sabotaje.
Se descubrió que la campaña esquiva y de larga duración que detalla la Unidad 42, que se remonta a 2018, utilizaba correos electrónicos de phishing con señuelos relacionados con asuntos geopolíticos en la región. El reciente aumento de las ofertas de señuelos relacionados con Turquía (p. ej. B. “Acuerdo de Asociación entre Marruecos y Turquía” o “Proyectos de Resolución sobre el Estado de Palestina” – sugiere que los negocios en el país podrían ser un nuevo foco.
Las cadenas de ataques comienzan con un señuelo PDF inofensivo que engaña a los destinatarios para que descarguen un archivo RAR de un servicio para compartir archivos. La apertura del archivo desencadena una cadena de eventos que conducen a la implementación de AshTag.
Utiliza un binario inofensivo renombrado para descargar una DLL maliciosa llamada AshenLoader. Esto no solo abre un archivo PDF señuelo para mantener la artimaña, sino que también contacta a un servidor externo para eliminar dos componentes adicionales, un ejecutable legítimo y una carga útil DLL llamada AshenStager (también conocida como stagerx64), que se recarga desde la página para iniciar el paquete de malware en la memoria y minimizar los artefactos forenses.
AshTag es una puerta trasera modular .NET diseñada para permitir la persistencia y la ejecución remota de comandos mientras se hace pasar por una utilidad VisualServer legítima y pasa desapercibida. Internamente, sus funciones se realizan utilizando un AshenOrchestrator para permitir la comunicación y ejecutar cargas útiles adicionales en la memoria.
Estas cargas útiles tienen diferentes propósitos:
- Persistencia y gestión de procesos.
- Actualización y eliminación
- Grabación de pantalla
- Explorador y administrador de archivos
- Sistema de huellas dactilares
En un caso, la Unidad 42 dijo que observó que el actor de amenazas accedía a una computadora comprometida para realizar un robo de datos práctico colocando documentos relevantes en la carpeta C:\Users\Public. Se dice que estos archivos se descargaron de la bandeja de entrada del correo electrónico de la víctima con el objetivo de robar documentos diplomáticos. Luego, los documentos fueron filtrados a un servidor controlado por el atacante utilizando la utilidad Rclone.
“Ashen Lepus sigue siendo un actor de espionaje persistente y demuestra una clara intención de continuar sus actividades durante el reciente conflicto regional, a diferencia de otros grupos de amenazas afiliados cuya actividad ha disminuido significativamente”, concluyó la compañía. “Las actividades de los actores amenazadores durante los últimos dos años subrayan particularmente su compromiso con la recopilación continua de inteligencia”.
About The Author
