Palo Alto Networks reveló nuevos detalles sobre una extensa campaña de espionaje dirigida por Ashen Lepus, un grupo cibernético vinculado a Hamás que ha mantenido operaciones persistentes contra organismos gubernamentales y diplomáticos en todo Oriente Medio.
Según la compañía, el grupo no solo continuó su actividad durante el conflicto entre Israel y Hamás, sino que intensificó sus esfuerzos incluso después del alto el fuego en Gaza de octubre de 2025, implementando malware de nuevo desarrollo e interviniendo directamente en las redes comprometidas.
Los investigadores informaron que Ashen Lepus, activo desde 2018, ha ampliado su objetivo tradicional más allá de la Autoridad Palestina, Egipto y Jordania, llegando ahora a entidades en Omán y Marruecos y mostrando un nuevo interés en Turquía.
A pesar de este mayor alcance geográfico, muchos de los señuelos utilizados en los intentos de phishing siguen girando en torno a cuestiones geopolíticas de Oriente Medio, en particular las que afectan a los Territorios Palestinos.
Entre los señuelos recientes se incluyen documentos que hacen referencia a la política de defensa turca, presunto entrenamiento de Hamás en Siria y debates sobre la situación política palestina.
La cadena de infección del grupo sigue siendo multietapa, pero ha experimentado mejoras significativas.
Ashen Lepus continúa distribuyendo un PDF de apariencia benigna que dirige a sus objetivos a descargar un archivo RAR que contiene un archivo binario camuflado, un cargador malicioso y un documento señuelo secundario.
Al abrirse, el binario activa la carga lateral de DLL, lo que lanza versiones actualizadas del cargador del grupo, conocido como AshenLoader, que muestra el documento señuelo mientras ejecuta procesos maliciosos en segundo plano.
Palo Alto Networks identificó un cambio notable en la infraestructura de comando y control del grupo.
En lugar de depender de dominios propiedad de los atacantes, Ashen Lepus ahora registra subdominios con temática de API y autenticación bajo nombres de host de apariencia legítima, una táctica que ayuda a integrar el tráfico malicioso en la actividad habitual de internet.
Estos dominios incluyen nombres relacionados con la medicina y la tecnología, y muchos de los servidores están geocercados para evitar que los sistemas de análisis automatizados accedan a ellos. Las cargas útiles secundarias se incrustan en etiquetas HTML, y los servidores validan la geolocalización y las cadenas únicas de agente de usuario antes de responder.
El núcleo de la campaña es una nueva suite de malware llamada AshTag, descrita como una puerta trasera modular basada en .NET capaz de exfiltrar archivos, descargar contenido adicional y ejecutar módulos adicionales completamente en memoria.
La cadena de infección avanza mediante la ejecución de AshenLoader, la recuperación de un stager llamado AshenStager y la carga de AshTag a través de un componente conocido como AshenOrchestrator.
El orquestador decodifica módulos ocultos en el contenido de la página web y puede activar funciones como la huella digital del sistema, la persistencia, la gestión de archivos y la captura de pantalla.
Los investigadores informaron que Ashen Lepus realizó actividades prácticas tras el ataque inicial.
Los atacantes almacenaron documentos seleccionados en carpetas públicas y exfiltraron los datos utilizando Rclone, una herramienta legítima de transferencia de archivos cada vez más utilizada por actores maliciosos para ocultar su actividad.
El material robado se obtuvo directamente de las cuentas de correo de las víctimas y parecía centrarse en documentos diplomáticos, en consonancia con los objetivos de recopilación de inteligencia del grupo desde hace tiempo.
A lo largo de 2025, el grupo perfeccionó sus cargadores de malware, adoptando el cifrado AES-CTR-256, ampliando las capacidades de identificación del sistema y ajustando repetidamente la estructura de sus URL de comando y control. Si bien estos cambios no alteran radicalmente la funcionalidad, mejoran la capacidad del grupo para evadir las herramientas de detección estática.
Palo Alto Networks ha publicado indicadores de vulnerabilidad, incluyendo hashes de malware, claves de cifrado, nombres de tareas programadas y dominios C2 asociados.
La compañía advierte que es probable que Ashen Lepus continúe adaptando su conjunto de herramientas y ampliando sus objetivos a medida que busca inteligencia relacionada con los acontecimientos geopolíticos regionales, señalando que el grupo se mantiene inusualmente activo en comparación con otros que operan en el mismo ámbito.
La compañía compartió sus hallazgos con la Cyber Threat Alliance y recomendó a las organizaciones gubernamentales y diplomáticas de todo el Medio Oriente que permanezcan alertas en medio de las campañas en curso del actor.
Reproducción autorizada con la mención siguiente: ©EnlaceJudío