Una amenaza persistente avanzada (APT) conocida como ESCRIBIR se ha atribuido a ataques dirigidos contra entidades gubernamentales y diplomáticas en todo el Medio Oriente con una suite de malware previamente indocumentada denominada AshTag desde 2020 .
Palo Alto Networks está rastreando el clúster de actividad con el nombre Lepus ceniciento . Los artefactos subidos a la plataforma VirusTotal muestran que el actor de la amenaza se ha centrado en Omán y Marruecos, lo que indica una expansión del alcance operativo más allá de la Autoridad Palestina, Jordania, Irak, Arabia Saudí y Egipto.
«Ashen Lepus permaneció activa de manera persistente durante todo el conflicto entre Israel y Hamás, lo que la distinguió de otros grupos afiliados cuyas actividades disminuyeron durante el mismo período», dijo la empresa de ciberseguridad en un informe compartido con The Hacker News. «Ashen Lepus continuó con su campaña incluso después del alto el fuego en Gaza en octubre de 2025, desplegando variantes de malware recientemente desarrolladas y realizando actividades prácticas en los entornos de las víctimas».
WIRTE, que se superpone con un grupo de habla árabe con motivaciones políticas conocido como Banda cibernética de Gaza (también conocido como Blackstem, Extreme Jackal, Molerats o TA402), es juzgado estar activo al menos desde 2018. Según un informe de Cybereason, tanto Molerats como APT-C-23 (también conocido como Víbora árida , Desert Varnish o Renegade Jackal) son dos subgrupos principales de la división de ciberguerra de Hamás.
Está impulsado principalmente por el espionaje y la recopilación de información de inteligencia, y tiene como objetivo a las entidades gubernamentales de Oriente Medio para cumplir sus objetivos estratégicos.
En un informe publicado en noviembre de 2024, Check Point atribuido el equipo de piratas informáticos llevó a cabo ataques destructivos dirigidos exclusivamente a entidades israelíes para infectarlas con un malware de limpieza personalizado denominado SameCoin, lo que puso de relieve su capacidad para adaptarse y llevar a cabo tanto el espionaje como el sabotaje.
Se ha descubierto que la campaña elusiva y de larga data detallada por la Unidad 42, que se remonta a 2018, aprovecha los correos electrónicos de suplantación de identidad con señuelos relacionados con los asuntos geopolíticos de la región. El reciente aumento del número de señuelos relacionados con Turquía —por ejemplo, el «acuerdo de asociación entre Marruecos y Turquía» o los «proyectos de resolución relativos al Estado de Palestina» — sugiere que las entidades del país podrían ser una nueva área de interés.
Las cadenas de ataque comienzan con un señuelo PDF inofensivo que engaña a los destinatarios para que descarguen un archivo RAR de un servicio de intercambio de archivos. La apertura del archivo desencadena una cadena de eventos que desemboca en el despliegue de AshTag.
Esto implica utilizar un binario benigno renombrado para descargar una DLL maliciosa denominada AshenLoader que, además de abrir un archivo PDF señuelo para seguir con la artimaña, contacta con un servidor externo para lanzar dos componentes más, un ejecutable legítimo y una carga DLL llamada AshenStager (también conocida como stagerx64) que se vuelve a descargar para lanzar la suite de malware en la memoria y minimizar los artefactos forenses.
AshTag es una puerta trasera modular de.NET que está diseñada para facilitar la persistencia y la ejecución remota de comandos, a la vez que se hace pasar por una utilidad legítima de VisualServer que pasa desapercibida. Internamente, sus funciones se realizan mediante un AsheOrchestrator que permite las comunicaciones y permite almacenar cargas útiles adicionales en la memoria.
Estas cargas útiles sirven para diferentes propósitos -
- Persistencia y gestión de procesos
- Actualización y eliminación
- Captura de pantalla
- Explorador y administración de archivos
- Toma de huellas digitales del sistema
En un caso, la Unidad 42 dijo haber observado al actor de la amenaza acceder a una máquina comprometida para llevar a cabo un robo práctico de datos almacenando documentos de interés en la carpeta C:\Users\Public. Se dice que estos archivos se descargaron de la bandeja de entrada del correo electrónico de la víctima y que su objetivo final era el robo de documentos relacionados con la diplomacia. Luego, los documentos se filtraron a un servidor controlado por un atacante mediante la utilidad Rclone.
«Ashen Lepus sigue siendo un actor de espionaje persistente, que ha demostrado una clara intención de continuar sus operaciones durante el reciente conflicto regional, a diferencia de otros grupos de amenazas afiliados, cuya actividad disminuyó significativamente», concluyó la empresa. «Las actividades de los actores de amenazas a lo largo de los dos últimos años destacan en particular su compromiso con la recopilación constante de información de inteligencia».