Palo Alto NetworksのUnit 42チームは、文書化された、中東全域の政府機関および外交組織を標的とする、長期にわたり目立たないキャンペーンを報告しました。この活動は、ハマスと関連があるとされるAshen Lepus(別名WIRTE)グループによるものとされています。
報告書によれば、同グループはイスラエル・ハマス紛争下でも2025年を通じて作戦ペースを維持し、2025年10月のガザ停戦後も活動を継続しました。観測結果およびVirusTotalのダウンロードデータは、地理的な対象範囲が拡大していることを示しています。標的には現在、パレスチナ自治政府、エジプト、ヨルダンの組織に加え、オマーンやモロッコの組織も含まれます。誘導(ルアー)のテーマは引き続き地域情勢に根差している一方で、トルコおよび同国とパレスチナ自治政府との関係に関する内容が、より頻繁に見られるようになっています。
最も大きな変化は、AshTagと呼ばれる新しいコンポーネント群の採用です。感染チェーンは通常、無害に見えるPDFから始まり、被害者をRARアーカイブをホストするファイル共有サービスへリダイレクトします。中には、機密文書を装った実行ファイル、悪意あるローダー、そして追加の囮PDFが含まれています。起動するとDLLサイドローディングが発動し、「正規の」文書が画面に表示される一方で、後続の段階がバックグラウンドで静かに進行し、主要ペイロードが配信されます。
報告書は、ステルス性が顕著に増している点を強調しています。ペイロードは暗号化され、メモリ上で実行され、フォレンジック上の痕跡をより少なく残す一方、コマンド&コントロール(C2)インフラは正規トラフィックに偽装されています。専用ドメインに依存するのではなく、攻撃者は正規サイト上に新たなAPIおよび認証用サブドメインを登録し、通常のネットワークフローに活動を違和感なく溶け込ませています。
さらに、ジオフェンシングや環境チェックによって難読化が強化されており、自動解析を困難にし、攻撃チェーン全体の再構築をより難しくしています。特定のデータ断片はHTMLページのマークアップ内に隠されており、Unit 42によれば、C2サーバーは位置情報や特徴的なユーザーエージェントのパターンに基づいてサンドボックスを除外できるとのことです。
AshTagは、遠隔操作とデータ流出を目的として設計された、開発が継続中のモジュール式.NETツールキットと説明されています。その機能には、システム偵察、ファイル操作、追加モジュールのダウンロードと実行、タスクスケジューラによる永続化が含まれます。初期侵害後、同グループは手動での活動へ移行し、読み込まれたモジュールを通じて、標的に合わせて選定した文書を準備・配置し、ファイルはC:\Users\Publicなどの場所に保存されました。
テレメトリで記録されたある事案では、Ashen Lepusがrcloneを用いて攻撃者が管理するサーバーへデータを流出させました。報告書は、この選択がトラフィックの観点で信憑性を高めるとともに、脅威アクターがファイル転送に正規ユーティリティを悪用する広範な傾向とも一致しており、作戦を良性の活動と見分けにくくしていると指摘しています。
