Il gruppo di minaccia avanzata WIRTE, noto anche come Ashen Lepus, ha recentemente intensificato le sue operazioni di cyber spionaggio contro enti governativi e diplomatici nel Medio Oriente. Dal 2020, le attività di WIRTE sono state caratterizzate dall’utilizzo di una suite malware inedita denominata AshTag, che rappresenta una minaccia persistente e sofisticata nell’ambito della cyberwarfare regionale.
Secondo le ultime analisi, WIRTE ha ampliato il proprio raggio d’azione includendo nuovi bersagli come Oman e Marocco, oltre ai già noti obiettivi in Palestina, Giordania, Iraq, Arabia Saudita ed Egitto. Le campagne di attacco si basano principalmente su email di phishing che sfruttano tematiche geopolitiche attuali e coinvolgono documenti PDF che fungono da esca per indurre le vittime a scaricare archivi RAR compromessi. L’apertura di questi archivi avvia una catena di infezione che culmina nell’installazione furtiva del malware AshTag.
Il meccanismo chiave dell’infezione è l’abuso della tecnica di DLL sideloading tramite un binario legittimo rinominato, che carica una DLL malevola chiamata AshenLoader. Questo componente non solo mantiene l’illusione dell’apertura di un PDF innocuo, ma comunica anche con server esterni per scaricare ulteriori payload, tra cui AshenStager e AshTag, eseguiti direttamente in memoria per ridurre le tracce forensi.
AshTag: caratteristiche e funzionalità
AshTag si distingue come backdoor modulare sviluppata in .NET, progettata per garantire persistenza sui sistemi compromessi, eseguire comandi da remoto e mascherarsi come utility legittima. Al suo interno, un orchestratore dedicato gestisce le comunicazioni e il caricamento di ulteriori moduli in memoria, tra cui strumenti per la gestione dei processi, aggiornamenti, rimozione del malware, cattura schermo, esplorazione file e fingerprinting del sistema.
Le indagini hanno rilevato casi di furto dati manuale, con documenti diplomatici prelevati dalle caselle email delle vittime e successivamente esfiltrati tramite utility come Rclone verso server sotto il controllo degli attaccanti. L’abilità di WIRTE nel mantenere attive le proprie campagne anche durante periodi di conflitto, come quello tra Israele e Hamas, sottolinea la resilienza e la determinazione del gruppo nel perseguire obiettivi di intelligence e sabotaggio.
Questa campagna evidenzia come il cyber spionaggio nel Medio Oriente sia caratterizzato da operazioni sofisticate, tecniche di evasione avanzate e una costante evoluzione degli strumenti malevoli impiegati, ponendo una seria sfida per le difese informatiche regionali e globali.
