A empresa de segurança cibernética Palo Alto Networks revelou novos detalhes sobre uma ampla campanha de espionagem conduzida pelo grupo Ashen Lepus, ligado ao Hamas, que manteve operações persistentes contra órgãos governamentais e diplomáticos em todo o Oriente Médio.

De acordo com informações de Israel National News, o grupo não apenas continuou suas atividades durante o conflito entre Israel e o Hamas, mas intensificou seus esforços mesmo após o cessar-fogo em Gaza, ocorrido em outubro de 2025, implantando malwares recém-desenvolvidos e interagindo diretamente em redes comprometidas.

Pesquisadores relataram que o Ashen Lepus, ativo desde 2018, expandiu seu conjunto tradicional de alvos além da Autoridade Palestina, do Egito e da Jordânia, agora alcançando entidades em Omã e Marrocos, e demonstrando novo interesse na Turquia.

PUBLICIDADE

Apesar dessa expansão geográfica mais ampla, muitas das iscas usadas em tentativas de phishing continuam a girar em torno de questões geopolíticas do Oriente Médio, particularmente aquelas envolvendo os territórios palestinos. Iscas recentes incluíram documentos referentes à política de defesa turca, supostos treinamentos do Hamas na Síria e discussões sobre desenvolvimentos políticos palestinos.

A cadeia de infecção do grupo permanece em múltiplos estágios, mas passou por atualizações significativas. O Ashen Lepus continua a distribuir um PDF de aparência inofensiva que direciona os alvos a baixar um arquivo RAR contendo um arquivo binário disfarçado, um carregador malicioso e um documento isca secundário.

PUBLICIDADE

Ao ser aberto, o binário aciona o side-loading de DLL, que lança versões atualizadas do carregador do grupo, conhecido como AshenLoader, o qual exibe o documento isca enquanto executa processos maliciosos em segundo plano.

A Palo Alto Networks identificou uma mudança notável na infraestrutura de comando e controle do grupo. Em vez de depender de domínios pertencentes aos atacantes, o Ashen Lepus agora registra subdomínios temáticos de API e autenticação sob nomes de host de aparência legítima, uma tática que ajuda a misturar o tráfego malicioso com a atividade regular da internet.

Esses domínios incluem nomes relacionados a áreas médicas e tecnológicas, e muitos dos servidores são geofenced para impedir que sistemas de análise automatizados os acessem. Cargas secundárias são incorporadas em tags HTML, e os servidores validam a geolocalização e strings únicas de User-Agent antes de responder.

No centro da campanha está uma nova suíte de malware chamada AshTag, descrita como um backdoor modular baseado em .NET, capaz de exfiltração de arquivos, download de conteúdo adicional e execução de módulos adicionais inteiramente na memória.

A cadeia de infecção progride por meio da execução do AshenLoader, da recuperação de um stager apelidado de AshenStager e do carregamento do AshTag por meio de um componente conhecido como AshenOrchestrator. O orquestrador decodifica módulos ocultos no conteúdo de páginas web e pode ativar recursos como impressão digital do sistema, persistência, gerenciamento de arquivos e captura de tela.

Investigadores relataram que o Ashen Lepus realizou atividades manuais após o comprometimento inicial. Os atacantes armazenaram documentos selecionados em pastas públicas e exfiltraram os dados usando o Rclone, uma ferramenta legítima de transferência de arquivos cada vez mais adotada por atores maliciosos para disfarçar suas ações.

O material roubado foi retirado diretamente das contas de e-mail das vítimas e pareceu se concentrar em documentos diplomáticos, consistente com os objetivos de longa data do grupo de coleta de inteligência.

Ao longo de 2025, o grupo refinou seus carregadores de malware, adotando criptografia AES-CTR-256, expandindo capacidades de impressão digital do sistema e ajustando repetidamente a estrutura de suas URLs de comando e controle. Embora essas mudanças não alterem radicalmente a funcionalidade, elas melhoram a capacidade do grupo de evadir ferramentas de detecção estática.

A Palo Alto Networks divulgou indicadores de comprometimento, incluindo hashes de malware, chaves de criptografia, nomes de tarefas agendadas e domínios C2 associados. A empresa alerta que o Ashen Lepus provavelmente continuará adaptando seu conjunto de ferramentas e expandindo seus alvos enquanto persegue inteligência relacionada a desenvolvimentos geopolíticos regionais, observando que o grupo permanece incomumente ativo em comparação com outros operando na mesma esfera.

A empresa compartilhou suas descobertas com a Cyber Threat Alliance e aconselhou organizações governamentais e diplomáticas em todo o Oriente Médio a permanecerem vigilantes em meio às campanhas em andamento do ator.