Война на паузе, хакеры — в работе. Шпионы маскируются под обычных сисадминов, чтобы обмануть защиту.
NewsMakerВраг научился притворяться «своим» так искусно, что защита его даже не замечает.
Команда Unit 42 из Palo Alto Networks описала длительную и малозаметную кампанию, нацеленную на госструктуры и дипломатические организации на Ближнем Востоке. Активность связывают с группировкой Ashen Lepus, также известной как WIRTE и аффилированной с ХАМАС.
По данным отчёта, в 2025 году группа не снижала темп на фоне войны Израиля и ХАМАС и продолжила операции даже после прекращения огня в Газе в октябре 2025 года. География, судя по наблюдениям и данным о загрузках на VirusTotal, стала шире: в числе целей фигурируют структуры в Палестинской администрации, Египте и Иордании, а также в Омане и Марокко. Темы приманок остаются привязанными к региональной повестке, но чаще стали появляться сюжеты, связанные с Турцией и её отношениями с палестинской администрацией.
Ключевое изменение — переход на новый набор компонентов, получивший имя AshTag. Цепочка заражения обычно начинается с безобидного PDF, который уводит на файлообменник за RAR-архивом. Внутри — исполняемый файл, замаскированный под чувствительный документ; вредоносный загрузчик и дополнительная PDF-приманка. При запуске срабатывает DLL Sideloading : на экране открывается «правильный» документ, а в фоне разворачиваются следующие стадии, связанные с доставкой основного полезного груза.
Отчёт подчёркивает усиление скрытности: полезные нагрузки шифруются, выполняются в памяти и оставляют меньше следов, а управляющая инфраструктура маскируется под легитимный трафик. Вместо собственных доменов злоумышленники регистрируют новые API- и auth-поддомены легитимных сайтов, чтобы растворяться в обычной сетевой активности.
Команда Unit 42 из Palo Alto Networks описала длительную и малозаметную кампанию, нацеленную на госструктуры и дипломатические организации на Ближнем Востоке. Активность связывают с группировкой Ashen Lepus, также известной как WIRTE и аффилированной с ХАМАС.
По данным отчёта, в 2025 году группа не снижала темп на фоне войны Израиля и ХАМАС и продолжила операции даже после прекращения огня в Газе в октябре 2025 года. География, судя по наблюдениям и данным о загрузках на VirusTotal, стала шире: в числе целей фигурируют структуры в Палестинской администрации, Египте и Иордании, а также в Омане и Марокко. Темы приманок остаются привязанными к региональной повестке, но чаще стали появляться сюжеты, связанные с Турцией и её отношениями с палестинской администрацией.
Ключевое изменение — переход на новый набор компонентов, получивший имя AshTag. Цепочка заражения обычно начинается с безобидного PDF, который уводит на файлообменник за RAR-архивом. Внутри — исполняемый файл, замаскированный под чувствительный документ; вредоносный загрузчик и дополнительная PDF-приманка. При запуске срабатывает DLL Sideloading : на экране открывается «правильный» документ, а в фоне разворачиваются следующие стадии, связанные с доставкой основного полезного груза.
Отчёт подчёркивает усиление скрытности: полезные нагрузки шифруются, выполняются в памяти и оставляют меньше следов, а управляющая инфраструктура маскируется под легитимный трафик. Вместо собственных доменов злоумышленники регистрируют новые API- и auth-поддомены легитимных сайтов, чтобы растворяться в обычной сетевой активности.