Um grupo avançado de ameaças persistentes (APT) conhecido como WIRTE vem realizando ataques contra entidades governamentais e diplomáticas no Oriente Médio desde 2020, utilizando uma suíte inédita de malware chamada AshTag.
A Palo Alto Networks monitora essa ameaça sob o codinome Ashen Lepus.
Artefatos enviados à plataforma VirusTotal indicam que o grupo ampliou seu foco operacional, mirando também Omã e Marrocos, além dos alvos tradicionais, como Autoridade Palestina, Jordânia, Iraque, Arábia Saudita e Egito.
Segundo um relatório da empresa compartilhado com o The Hacker News, o Ashen Lepus manteve suas operações ativas durante o conflito entre Israel e Hamas, o que o diferencia de outros grupos relacionados que reduziram suas atividades no mesmo período.
Mesmo após o cessar-fogo em Gaza, em outubro de 2025, o grupo continuou sua campanha, desenvolvendo novas variantes de malware e realizando operações manuais nos ambientes comprometidos.
O WIRTE, que apresenta sobreposição com um coletivo árabe de motivação política conhecido como Gaza Cyber Gang (também chamado de Blackstem, Extreme Jackal, Molerats ou TA402), está ativo pelo menos desde 2018.
Um relatório da Cybereason aponta que os subgrupos Molerats e APT-C-23 (também conhecidos como Arid Viper, Desert Varnish ou Renegade Jackal) fazem parte da divisão cibernética do Hamas.
A principal motivação dessas operações é a espionagem e a coleta de inteligência, com foco em órgãos governamentais do Oriente Médio para atingir objetivos estratégicos.
Um estudo da Check Point, publicado em novembro de 2024, associou o grupo a ataques destrutivos contra entidades israelenses, utilizando um malware wiper personalizado chamado SameCoin.
Isso demonstra a capacidade do grupo de adaptar suas ferramentas para realizar tanto espionagem quanto sabotagem.
A campanha longa e discreta, detalhada pela Unit 42, remonta a 2018 e utiliza e-mails de phishing com temas ligados a assuntos geopolíticos da região.
Mais recentemente, houve aumento no uso de iscas relacionadas à Turquia, como “Acordo de parceria entre Marrocos e Turquia” e “Projeto de resoluções sobre o Estado da Palestina”, indicando possível expansão do foco para entidades turcas.
As cadeias de ataque começam com um arquivo PDF falso, que induz o destinatário a baixar um arquivo RAR hospedado em um serviço de compartilhamento.
Ao abrir esse arquivo, é disparada uma sequência que instala o AshTag.
O processo envolve um binário legítimo renomeado para fazer sideload de uma DLL maliciosa chamada AshenLoader.
Além de abrir o PDF falsificado para manter o engano, o loader se conecta a um servidor externo para baixar dois componentes adicionais: um executável legítimo e uma DLL maliciosa denominada AshenStager (também chamada de stagerx64).
Essa DLL é novamente carregada por sideload para executar o malware diretamente na memória, minimizando vestígios forenses.
O AshTag é um backdoor modular desenvolvido em .NET, projetado para garantir persistência e execução remota de comandos, disfarçando-se como uma ferramenta legítima chamada VisualServer para evitar detecção.
Suas funcionalidades são coordenadas internamente por um componente chamado AshenOrchestrator, responsável pelas comunicações e pelo carregamento de payloads adicionais na memória.
Os módulos do AshTag oferecem diversas funcionalidades:
- Gestão de persistência e processos
- Atualização e remoção do malware
- Captura de tela
- Exploração e gerenciamento de arquivos
- Coleta de informações do sistema
Em um dos casos analisados pela Unit 42, o grupo realizou acesso manual a uma máquina comprometida para roubo de dados.
Eles organizaram documentos estratégicos na pasta C:\Users\Public, oriundos da caixa de entrada de e-mails da vítima, com o objetivo de furtar arquivos relacionados à diplomacia.
Esses documentos foram exfiltrados para um servidor controlado pelos atacantes, usando a ferramenta Rclone.
A Palo Alto Networks conclui que o Ashen Lepus permanece um ator persistente na espionagem cibernética, com clara intenção de manter suas operações, mesmo durante recentes conflitos regionais — em contraste com outros grupos cuja atividade diminuiu consideravelmente.
As ações registradas nos últimos dois anos reforçam o compromisso do grupo em manter uma coleta constante de inteligência.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...