Een geavanceerde aanhoudende dreiging (APT), bekend als WIRTE wordt sinds 2020 toegeschreven aan aanvallen gericht op regerings- en diplomatieke entiteiten in het Midden-Oosten met een voorheen ongedocumenteerde malwaresuite genaamd AshTag.
Palo Alto Networks Unit 42 volgt het activiteitencluster onder de naam Asjen Lepus. Artefacten die naar het VirusTotal-platform zijn geüpload, laten zien dat de bedreigingsactoren zijn blik op Oman en Marokko hebben gericht, wat wijst op een uitbreiding van de operationele reikwijdte buiten de Palestijnse Autoriteit, Jordanië, Irak, Saoedi-Arabië en Egypte.
Het bedrijf zei tegen The Hacker News dat het “tientallen unieke lokmiddelen” heeft waargenomen die over het Midden-Oosten zijn verspreid, wat wijst op een “aanhoudende en verreikende campagne” die beperkt is tot regerings- en diplomatieke entiteiten in de regio. Naar schatting zijn meer dan een dozijn entiteiten het doelwit geweest, hoewel vermoed wordt dat het werkelijke aantal hoger zou kunnen zijn.
“Ashen Lepus bleef voortdurend actief tijdens het Israëlisch-Hamas-conflict, waardoor het zich onderscheidde van andere aangesloten groepen wier activiteiten in dezelfde periode afnamen”, aldus het cyberbeveiligingsbedrijf in een rapport gedeeld met The Hacker News. “Ashen Lepus zette zijn campagne voort, zelfs na het staakt-het-vuren in Gaza van oktober 2025, waarbij nieuw ontwikkelde malwarevarianten werden ingezet en hands-on activiteiten werden ontplooid in slachtofferomgevingen.”
WIRTE, dat overlapt met een Arabisch sprekende, politiek gemotiveerde cluster die bekend staat als Gaza Cyber Gang (ook bekend als Blackstem, Extreme Jackal, Molerats of TA402), wordt geacht actief te zijn sinds ten minste 2018. Volgens een rapport van Cybereason zijn zowel Molerats als APT-C-23 (ook bekend als Arid Viper, Desert Varnish of Renegade Jackal) twee belangrijke subgroepen van de cyberoorlogsdivisie van Hamas.
Het wordt voornamelijk gedreven door spionage en het verzamelen van inlichtingen, waarbij het zich richt op overheidsinstanties in het Midden-Oosten om zijn strategische doelstellingen te bereiken.
“Specifiek blijkt de connectie tussen WIRTE (Ashen Lepus) en de bredere Gaza Cyber Gang voornamelijk uit code-overlappingen en overeenkomsten”, aldus onderzoekers van Unit 42. “Dit suggereert dat, hoewel ze onafhankelijk opereren, de instrumenten zijn ontwikkeld door nauwe entiteiten en dat ze waarschijnlijk ontwikkelingshulpmiddelen delen. We hebben ook overlap gezien in de slachtofferpraktijk van andere groepen.”
In een rapport dat in november 2024 werd gepubliceerd, schreef Check Point de hackploeg toe aan destructieve aanvallen die uitsluitend gericht waren op Israëlische entiteiten om hen te infecteren met een aangepaste wiper-malware, SameCoin genaamd, waarbij hun vermogen om zich aan te passen en zowel spionage als sabotage uit te voeren werd benadrukt.
Het is gebleken dat de langlopende, ongrijpbare campagne van Unit 42, die helemaal teruggaat tot 2018, gebruik maakt van phishing-e-mails met lokmiddelen die verband houden met geopolitieke zaken in de regio. Een recente toename van aantijgingen in verband met Turkije – bijvoorbeeld de “Partnerschapsovereenkomst tussen Marokko en Turkije” of “Ontwerpresoluties betreffende de staat Palestina” – suggereert dat entiteiten in het land een nieuw aandachtsgebied kunnen zijn.
De aanvalsketens beginnen met een onschadelijke pdf-lokvogel die ontvangers ertoe verleidt een RAR-archief te downloaden van een dienst voor het delen van bestanden. Het openen van het archief veroorzaakt een reeks gebeurtenissen die resulteert in de inzet van AshTag.
Dit omvat het gebruik van een hernoemd goedaardig binair bestand om een kwaadaardige DLL met de naam AshenLoader te sideloaden die, naast het openen van een lok-PDF-bestand om de list voort te zetten, contact opneemt met een externe server om nog twee componenten te droppen, een legitiem uitvoerbaar bestand en een DLL-payload genaamd AshenStager (ook bekend als stagerx64) die opnieuw wordt sideload om de malwaresuite in het geheugen te starten om forensische artefacten te minimaliseren.
AshTag is een modulaire .NET-achterdeur die is ontworpen om doorzettingsvermogen en de uitvoering van opdrachten op afstand te vergemakkelijken, terwijl hij zich voordoet als een legitiem VisualServer-hulpprogramma dat onder de radar blijft. Intern worden de functies ervan gerealiseerd door middel van een AshenOrchestrator om communicatie mogelijk te maken en om extra payloads in het geheugen uit te voeren.
Deze ladingen dienen verschillende doeleinden:
- Doorzettingsvermogen en procesmanagement
- Updaten en verwijderen
- Schermopname
- Bestandsverkenner en -beheer
- Systeemvingerafdruk
In één geval zei Unit 42 te hebben waargenomen dat de bedreigingsacteur zich toegang verschafte tot een gecompromitteerde machine om hands-on gegevensdiefstal uit te voeren door interessante documenten op te slaan in de map C:UsersPublic. Deze bestanden zouden zijn gedownload uit de e-mailinbox van een slachtoffer, met als einddoel de diefstal van diplomatiegerelateerde documenten. De documenten werden vervolgens geëxfiltreerd naar een door de aanvaller bestuurde server met behulp van het hulpprogramma Rclone.
Er wordt aangenomen dat gegevensdiefstal waarschijnlijk heeft plaatsgevonden onder de bredere slachtofferpopulatie, vooral in omgevingen waar geavanceerde detectiemogelijkheden ontbreken.
“Ashen Lepus blijft een volhardende spionagespeler, die blijk geeft van een duidelijke intentie om zijn activiteiten gedurende het recente regionale conflict voort te zetten – in tegenstelling tot andere aangesloten dreigingsgroepen, wier activiteiten aanzienlijk zijn afgenomen”, concludeerde het bedrijf. “De activiteiten van de dreigingsactoren gedurende de afgelopen twee jaar onderstrepen vooral hun toewijding aan het voortdurend verzamelen van inlichtingen.”
