Diplomáticos, en guardia: «La liebre cenicienta» ha salido a cazar
El enemigo se hace pasar por uno de los nuestros con tal maestría que la defensa ni se da cuenta.
El equipo Unit 42 de Palo Alto Networks describió una campaña prolongada y de baja visibilidad dirigida a organismos estatales y organizaciones diplomáticas en Oriente Próximo. La actividad se relaciona con el grupo Ashen Lepus, también conocido como WIRTE y afiliado a Hamás.
Según el informe, en 2025 el grupo no aminoró el ritmo en medio de la guerra entre Israel y Hamás y continuó las operaciones incluso después del alto el fuego en Gaza en octubre de 2025. La geografía, según las observaciones y los datos de subidas a VirusTotal, se amplió: entre los objetivos figuran entidades de la Autoridad Palestina, Egipto y Jordania, así como Omán y Marruecos. Los temas de los señuelos siguen ligados a la agenda regional, pero con más frecuencia aparecieron asuntos relacionados con Turquía y sus relaciones con la administración palestina.
El cambio clave fue la adopción de un nuevo conjunto de componentes llamado AshTag. La cadena de infección suele comenzar con un PDF inofensivo que redirige a un servicio de intercambio de archivos para descargar un archivo RAR. En su interior hay un archivo ejecutable disfrazado de documento sensible; un cargador malicioso y un señuelo adicional en PDF. Al ejecutarse se activa DLL Sideloading: en pantalla se abre el documento «correcto», mientras que en segundo plano se despliegan las etapas siguientes relacionadas con la entrega de la carga útil principal.
El informe subraya el aumento del sigilo: las cargas útiles se cifran, se ejecutan en memoria y dejan menos rastros, y la infraestructura de control se disfraza como tráfico legítimo. En lugar de usar dominios propios, los atacantes registran nuevos subdominios de API y auth en sitios legítimos para diluirse en la actividad normal de la red.
Además se usan geocercas y comprobaciones del entorno, lo que dificulta que los sistemas automáticos de análisis reconstruyan toda la cadena y relacionen las etapas entre sí. Fragmentos de datos se ocultan en el marcado HTML de páginas, y el servidor C2, según la descripción de Unit 42, puede filtrar sandboxes por geolocalización y por User-Agent característicos.
AshTag se describe como un conjunto modular .NET en desarrollo activo, diseñado para el control remoto y el robo de datos. Entre sus capacidades se mencionan la recopilación de información del sistema, el manejo de archivos, la descarga y ejecución de módulos adicionales, así como la persistencia mediante el programador de tareas. Tras la infección inicial, el grupo pasaba a acciones manuales: mediante los módulos descargados se seleccionaban y preparaban los documentos necesarios, que se almacenaban, entre otros lugares, en C:\Users\Public.
En uno de los episodios descritos en la telemetría, Ashen Lepus empleó rclone para extraer datos hacia un servidor controlado. Los autores del informe señalan que esto da más verosimilitud a la campaña a nivel de tráfico y encaja en la tendencia general de que los atacantes usan utilidades legítimas para transferir archivos y dificultar su distinción de la actividad habitual.
¿Estás cansado de que Internet sepa todo sobre ti?