En los últimos meses, hemos estado analizando la actividad de un threat actor APT conocido por sus actividades de espionaje contra entidades gubernamentales árabes. Rastreamos a este grupo de amenaza del Medio Oriente como Ashen Lepus (también conocido como WIRTE). Compartimos detalles de una extensa campaña de espionaje que se ha extendido durante años, evadiendo la detección y mezclándose con el tráfico de internet legítimo. Nuestra investigación descubrió que el grupo ha creado nuevas versiones de su cargador personalizado documentado anteriormente, entregando una nueva suite de malware a la que hemos denominado AshTag. El grupo también actualizó su infraestructura de control y comando (C2) para evitar análisis y mezclarse con el tráfico de internet legítimo.
Ashen Lepus permaneció activo persistientemente durante el conflicto Israel-Hamas, distinguiéndose de otros grupos afiliados cuyas actividades disminuyeron en el mismo período. Ashen Lepus continuó con su campaña incluso después del fin del alto al fuego en Gaza en octubre de 2025, desplegando variantes de malware recientemente desarrolladas y realizando actividad manual en los entornos de las víctimas.
Esta campaña destaca una evolución tangible en la seguridad operacional y las TTPs (Técnicas, Tácticas y Procedimientos) de Ashen Lepus. Aunque sus operaciones a lo largo del tiempo han demostrado una sofisticación moderada, el grupo ha adoptado recientemente tácticas más avanzadas que incluyen:
- Encriptación mejorada de cargos personalizados
- Ocultación de infraestructura usando subdominios legítimos
- Ejecución en memoria para minimizar evidencias forenses