Война на паузе, хакеры — в работе. Шпионы маскируются под обычных сисадминов, чтобы обмануть защиту.

leer en español

Palo Alto Networks Unit 42 Ashen Lepus WIRTE AshTag rclone кибершпионаж
Война на паузе, хакеры — в работе. Шпионы маскируются под обычных сисадминов, чтобы обмануть защиту.
Palo Alto Networks Unit 42 Ashen Lepus WIRTE AshTag rclone кибершпионаж

Враг научился притворяться «своим» так искусно, что защита его даже не замечает.

image

Команда Unit 42 из Palo Alto Networks описала длительную и малозаметную кампанию, нацеленную на госструктуры и дипломатические организации на Ближнем Востоке. Активность связывают с группировкой Ashen Lepus, также известной как WIRTE и аффилированной с ХАМАС.

По данным отчёта, в 2025 году группа не снижала темп на фоне войны Израиля и ХАМАС и продолжила операции даже после прекращения огня в Газе в октябре 2025 года. География, судя по наблюдениям и данным о загрузках на VirusTotal, стала шире: в числе целей фигурируют структуры в Палестинской администрации, Египте и Иордании, а также в Омане и Марокко. Темы приманок остаются привязанными к региональной повестке, но чаще стали появляться сюжеты, связанные с Турцией и её отношениями с палестинской администрацией.

Ключевое изменение — переход на новый набор компонентов, получивший имя AshTag. Цепочка заражения обычно начинается с безобидного PDF, который уводит на файлообменник за RAR-архивом. Внутри — исполняемый файл, замаскированный под чувствительный документ; вредоносный загрузчик и дополнительная PDF-приманка. При запуске срабатывает DLL Sideloading: на экране открывается «правильный» документ, а в фоне разворачиваются следующие стадии, связанные с доставкой основного полезного груза.

Отчёт подчёркивает усиление скрытности: полезные нагрузки шифруются, выполняются в памяти и оставляют меньше следов, а управляющая инфраструктура маскируется под легитимный трафик. Вместо собственных доменов злоумышленники регистрируют новые API- и auth-поддомены легитимных сайтов, чтобы растворяться в обычной сетевой активности.

Дополнительно используются геофенсинг и проверки окружения, из-за чего автоматическим системам анализа сложнее восстановить всю цепочку и связать этапы между собой. Отдельные фрагменты данных прячутся в HTML-разметке страниц, а C2-сервер, по описанию Unit 42, может отсеивать песочницы по геолокации и характерным User-Agent.

AshTag описывается как модульный .NET-набор, который находится в активной разработке и рассчитан на удалённое управление и кражу данных. Среди возможностей упоминаются сбор сведений о системе, работа с файлами, загрузка и запуск дополнительных модулей, а также закрепление через планировщик задач. После первоначального заражения группа переходила к ручным действиям: через загружаемые модули подбирались и подготавливались нужные документы, которые складывались, в частности, в C:\Users\Public.

В одном из эпизодов, описанных в телеметрии, Ashen Lepus использовала rclone для вывода данных на контролируемый сервер. Авторы отчёта отмечают, что это добавляет кампании правдоподобности на уровне трафика и вписывается в общий тренд, когда злоумышленники используют легитимные утилиты для передачи файлов, чтобы сложнее отличаться от обычной активности.