{"id":168266,"date":"2025-12-11T03:00:15","date_gmt":"2025-12-11T11:00:15","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=168266"},"modified":"2025-12-18T10:27:24","modified_gmt":"2025-12-18T18:27:24","slug":"hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/es-la\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/","title":{"rendered":"Ashen Lepus, afiliado a Ham\u00e1s, ataca a entidades diplom\u00e1ticas de Oriente Medio con el nuevo conjunto de malware AshTag"},"content":{"rendered":"<h2><a id=\"post-168266-_heading=h.bso8cqe0rfes\"><\/a>Resumen ejecutivo<\/h2>\n<p>En los \u00faltimos meses, hemos estado analizando la actividad de una amenaza persistente avanzada (APT) conocida por sus actividades de espionaje contra entidades gubernamentales de habla \u00e1rabe. Seguimos la pista a este actor de amenazas de Oriente Medio como Ashen Lepus (tambi\u00e9n conocido como <a href=\"https:\/\/apt.etda.or.th\/cgi-bin\/showcard.cgi?g=WIRTE%20Group&amp;n=1\" target=\"_blank\" rel=\"noopener\">WIRTE<\/a>).<\/p>\n<p>Compartimos detalles de una campa\u00f1a de espionaje prolongada y esquiva dirigida a entidades gubernamentales y diplom\u00e1ticas de todo Oriente Medio. Hemos descubierto que el grupo ha creado nuevas versiones de su cargador personalizado, <a href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/ta402-uses-complex-ironwind-infection-chains-target-middle-east-based-government\" target=\"_blank\" rel=\"noopener\">documentado anteriormente<\/a>, y ha distribuido un nuevo conjunto de malware al que hemos denominado AshTag. El grupo tambi\u00e9n ha actualizado su arquitectura de comando y control (C2) para evadir el an\u00e1lisis y mezclarse con el tr\u00e1fico leg\u00edtimo de Internet.<\/p>\n<p>Ashen Lepus se mantuvo activo de forma persistente durante todo el conflicto entre Israel y Ham\u00e1s, lo que lo distingue de otros grupos afiliados cuyas actividades disminuyeron durante el mismo per\u00edodo. Ashen Lepus continu\u00f3 con su campa\u00f1a incluso despu\u00e9s del alto el fuego de Gaza en octubre de 2025, implementando variantes de malware reci\u00e9n desarrolladas y participando en actividades pr\u00e1cticas dentro de los entornos de las v\u00edctimas.<\/p>\n<p>Esta campa\u00f1a pone de relieve una evoluci\u00f3n tangible en la seguridad operativa y las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) de Ashen Lepus. Si bien sus operaciones a lo largo de los a\u00f1os han demostrado solo una sofisticaci\u00f3n moderada, el grupo ha adoptado recientemente t\u00e1cticas m\u00e1s avanzadas que incluyen:<\/p>\n<ul>\n<li>Cifrado personalizado mejorado de la carga \u00fatil.<\/li>\n<li>Ocultaci\u00f3n de la infraestructura mediante subdominios leg\u00edtimos.<\/li>\n<li>Ejecuci\u00f3n en memoria para minimizar los artefactos forenses.<\/li>\n<\/ul>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas descritas en este art\u00edculo por medio de los siguientes productos y servicios:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">URL Filtering avanzado<\/a> y <a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-dns-security\" target=\"_blank\" rel=\"noopener\">Seguridad DNS avanzada<\/a><\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a>.<\/p>\n<table style=\"width: 100.539%;\">\n<thead>\n<tr style=\"height: 20px;\">\n<td style=\"width: 35%; height: 20px;\"><b>Temas relacionados con Unit\u00a042<\/b><\/td>\n<td style=\"width: 199.102%; height: 20px;\"><b><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/category\/threat-research-es-la\/malware-es-la\/\" target=\"_blank\" rel=\"noopener\">Malware<\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/category\/threat-actor-groups-es-la\/\" target=\"_blank\" rel=\"noopener\">Grupos de actores maliciosos<\/a><\/b><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-168266-_heading=h.kbwr1l6t1hcy\"><\/a>Antecedentes de Ashen Lepus<\/h2>\n<p>Investigamos una campa\u00f1a llevada a cabo por un <a href=\"https:\/\/apt.etda.or.th\/cgi-bin\/showcard.cgi?g=WIRTE%20Group&amp;n=1\" target=\"_blank\" rel=\"noopener\">grupo de amenazas afiliado a Ham\u00e1s<\/a> que ha estado activo desde 2018. Sus operaciones se centran en el ciberespionaje y la recopilaci\u00f3n de informaci\u00f3n y tienen como objetivo entidades gubernamentales de todo Oriente Medio.<\/p>\n<p>Atribuimos esta actividad con un alto grado de confianza a Ashen Lepus. Nuestra atribuci\u00f3n se basa en el <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/\" target=\"_blank\" rel=\"noopener\">Marco de atribuci\u00f3n de Unit 42<\/a> y tiene en cuenta la infraestructura de red, el modus operandi y el malware que el grupo ha utilizado a lo largo de sus campa\u00f1as. Los artefactos de atribuci\u00f3n se detallan en el <a href=\"#post-168266-_heading=h.457jidmy94z3\" target=\"_blank\" rel=\"noopener\">Ap\u00e9ndice A<\/a>.<\/p>\n<h2><a id=\"post-168266-_heading=h.1gzewax9fqkq\"><\/a>Operaciones de Ashen Lepus: victimolog\u00eda y motivaci\u00f3n<\/h2>\n<p>Ashen Lepus es conocido por atacar a entidades geogr\u00e1ficamente cercanas, como la Autoridad Palestina, Egipto y Jordania. Las campa\u00f1as recientes muestran una expansi\u00f3n significativa en el alcance operativo: seg\u00fan las \u00faltimas subidas a VirusTotal, el grupo ahora est\u00e1 atacando a entidades de otros pa\u00edses de habla \u00e1rabe, incluidos Om\u00e1n y Marruecos.<\/p>\n<p><span style=\"font-weight: 400;\">A pesar de la mayor presencia geogr\u00e1fica observada en sus recientes ataques, los temas de los se\u00f1uelos del grupo siguen siendo en gran medida los mismos. La mayor\u00eda de los temas de los se\u00f1uelos siguen estando relacionados con asuntos geopol\u00edticos de Oriente Medio, principalmente los que afectan a los territorios palestinos. Sin embargo, la campa\u00f1a actual muestra un aumento de los se\u00f1uelos relacionados con Turqu\u00eda y su relaci\u00f3n con la administraci\u00f3n palestina. Este cambio en los temas de los se\u00f1uelos sugiere que las entidades turcas pueden ser un nuevo \u00e1rea de inter\u00e9s operativo. En la Tabla 1 se detallan estos temas.<\/span><\/p>\n<table style=\"width: 100%;\">\n<tbody>\n<tr>\n<td style=\"width: 43.4861%; text-align: center;\"><strong>Tema del se\u00f1uelo<\/strong><\/td>\n<td style=\"width: 55.7951%; text-align: center;\"><strong>Traducci\u00f3n autom\u00e1tica<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: right; width: 43.4861%;\">\u0627\u062a\u0641\u0627\u0642\u064a\u0629 \u0627\u0644\u0634\u0631\u0627\u0643\u0629 \u0628\u064a\u0646 \u0627\u0644\u0645\u063a\u0631\u0628 \u0648\u062a\u0631\u0643\u064a\u0627<\/td>\n<td style=\"width: 55.7951%;\">Acuerdo de asociaci\u00f3n entre Marruecos y Turqu\u00eda<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: right; width: 43.4861%;\">1302 \u0648\u0632\u064a\u0631 \u0627\u0644\u062f\u0641\u0627\u0639 \u0627\u0644\u062a\u0631\u0643\u064a \u063a\u064a\u0631\u0646\u0627 \u0627\u0633\u062a\u0631\u0627\u062a\u064a\u062c\u064a\u062a\u0646\u0627 \u0641\u064a \u0645\u0643\u0627\u0641\u062d\u0629 \u0627\u0644\u062a\u0646\u0638\u064a\u0645\u0627\u062a \u0627\u0644\u0627\u0631\u0647\u0627\u0628\u064a\u0629<\/td>\n<td style=\"width: 55.7951%;\">El ministro de Defensa turco cambi\u00f3 nuestra estrategia en la lucha contra las organizaciones terroristas en 1302.<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: right; width: 43.4861%;\">\u0623\u0646\u0628\u0627\u0621 \u0639\u0646 \u062a\u062f\u0631\u064a\u0628 \u0639\u0646\u0627\u0635\u0631 \u0645\u0646 \u062d\u0645\u0627\u0633 \u0641\u064a \u0633\u0648\u0631\u064a\u0627 \u062a\u062d\u062f\u064a\u062f\u0627 \u0641\u064a \u0627\u0644\u062c\u0646\u0648\u0628 \u0628\u062f\u0639\u0645 \u062a\u0631\u0643\u064a<\/td>\n<td style=\"width: 55.7951%;\">Informes sobre elementos de Ham\u00e1s entren\u00e1ndose en Siria, concretamente en el sur, con apoyo turco.<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: right; width: 43.4861%;\">\u062a\u0642\u0631\u064a\u0631 \u0639\u0646 \u0645\u0642\u062a\u0631\u062d \u062d\u0645\u0627\u0633 \u0644\u062a\u0648\u062d\u064a\u062f \u0627\u0644\u0633\u0644\u0627\u062d \u0627\u0644\u0641\u0644\u0633\u0637\u064a\u0646\u064a \u062a\u062d\u062a \u0645\u0638\u0644\u0629 \u0627\u0644\u0633\u0644\u0637\u0629<\/td>\n<td style=\"width: 55.7951%;\">Informe sobre la propuesta de Ham\u00e1s de unificar las armas palestinas al amparo de la Autoridad.<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: right; width: 43.4861%;\">\u0645\u0634\u0627\u0631\u064a\u0639 \u0627\u0644\u0642\u0631\u0627\u0631\u0627\u062a \u0627\u0644\u062e\u0627\u0635\u0629 \u0628\u062f\u0648\u0644\u0629 \u0641\u0644\u0633\u0637\u064a\u0646 \u0633\u0631\u064a \u0644\u0644\u063a\u0627\u064a\u0629<\/td>\n<td style=\"width: 55.7951%;\">Proyectos de resoluci\u00f3n relativos al Estado de Palestina. Confidencial.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla\u00a01. Temas de se\u00f1uelos utilizados en una campa\u00f1a reciente de Ashen Lepus.<\/span><\/p>\n<h2><a id=\"post-168266-_heading=h.hw3nbdu69uo2\"><\/a>An\u00e1lisis de los \u00faltimos avances de la campa\u00f1a de Ashen Lepus<\/h2>\n<h3><a id=\"post-168266-_heading=h.x0izrlmrjy6e\"><\/a>An\u00e1lisis del archivo se\u00f1uelo<\/h3>\n<p>\u200bDesde <a href=\"https:\/\/www.cybereason.com\/hubfs\/dam\/collateral\/reports\/Molerats-in-the-Cloud-New-Malware-Arsenal-Abuses-Cloud-Platforms-in-Middle-East-Espionage-Campaign.pdf\" target=\"_blank\" rel=\"noopener\">al menos 2020<\/a>, Ashen Lepus ha empleado una cadena de infecci\u00f3n coherente y de varias etapas que distribuye un nuevo conjunto de malware que denominamos AshTag. La cadena suele comenzar con un archivo PDF se\u00f1uelo benigno que gu\u00eda a los objetivos a un servicio de intercambio de archivos para descargar un archivo RAR que contiene una carga maliciosa. En la Figura 1 se muestran dos ejemplos de se\u00f1uelos, relacionados con debates mantenidos por la Liga de los Estados \u00c1rabes y el Consejo de Seguridad de las Naciones Unidas.<\/p>\n<figure id=\"attachment_168267\" aria-describedby=\"caption-attachment-168267\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168267 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-395669-168266-1.png\" alt=\"Imagen escaneada de un documento de dos p\u00e1ginas escrito en \u00e1rabe, con el escudo de Arabia Saudita en la parte superior de la primera p\u00e1gina. El documento parece ser formal, posiblemente un documento gubernamental o legal.\" width=\"1000\" height=\"485\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-395669-168266-1.png 1670w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-395669-168266-1-786x381.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-395669-168266-1-1443x700.png 1443w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-395669-168266-1-768x373.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-395669-168266-1-1536x745.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168267\" class=\"wp-caption-text\">Figura 1. Ejemplos de se\u00f1uelos presentados a los objetivos.<\/figcaption><\/figure>\n<p>La descarga y apertura del archivo RAR inicia la cadena de eventos que conduce a una infecci\u00f3n. Esta infecci\u00f3n involucra los siguientes tres archivos:<\/p>\n<ul>\n<li>Un archivo binario que se hace pasar por un documento confidencial o pol\u00edtico.<\/li>\n<li>Un cargador malicioso, que se ejecuta en segundo plano.<\/li>\n<li>Un archivo PDF adicional que sirve de se\u00f1uelo, llamado <span style=\"font-family: 'courier new', courier, monospace;\">Document.pdf.<\/span><\/li>\n<\/ul>\n<p>Cuando la persona objetivo ejecuta el binario para leer el art\u00edculo, el binario carga lateralmente el primer cargador malicioso (<span style=\"font-family: 'courier new', courier, monospace;\">netutils.dll<\/span>), que a su vez abre el archivo PDF se\u00f1uelo para su visualizaci\u00f3n. En la Figura 2 se ilustra la cadena de infecci\u00f3n inicial en Cortex XDR, mostrando las alertas activadas por los ejecutables de Windows responsables de la carga lateral y la persistencia de DLL.<\/p>\n<figure id=\"attachment_168344\" aria-describedby=\"caption-attachment-168344\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168344 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/ES-LA_Charts_2719_Wirte-Targets-Middle-Eastern-Diplomatic-Entities-2-786x301.png\" alt=\"Diagrama de Cortex XDR que ilustra un proceso de infecci\u00f3n por malware en varias etapas. Las etapas se denominan \u00abCargador\u00bb y una escritura \u00e1rabe no identificada, \u00abStager ejecutando la carga \u00fatil final\u00bb y \u00abPersistencia de Stager y carga \u00fatil\u00bb. Cada etapa est\u00e1 marcada con un s\u00edmbolo de tri\u00e1ngulo de advertencia.\" width=\"1000\" height=\"383\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/ES-LA_Charts_2719_Wirte-Targets-Middle-Eastern-Diplomatic-Entities-2-786x301.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/ES-LA_Charts_2719_Wirte-Targets-Middle-Eastern-Diplomatic-Entities-2-768x294.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/ES-LA_Charts_2719_Wirte-Targets-Middle-Eastern-Diplomatic-Entities-2.png 931w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168344\" class=\"wp-caption-text\">Figura 2. Cadena de infecci\u00f3n inicial y persistencia de AshTag, tal y como se observa en Cortex XDR.<\/figcaption><\/figure>\n<h3><a id=\"post-168266-_heading=h.6yjybqbh7pzm\"><\/a>Evoluci\u00f3n de la arquitectura C2<\/h3>\n<p>Al comparar esta campa\u00f1a con campa\u00f1as anteriores, se observa que ha habido un cambio en la convenci\u00f3n de nomenclatura de dominios C2 del grupo. En lugar de alojar sus servidores C2 en sus propios dominios, el grupo ahora registra nuevos subdominios relacionados con API y autenticaci\u00f3n de dominios leg\u00edtimos. Este cambio forma parte de la transici\u00f3n del grupo hacia una mayor seguridad operativa (OpSec) y ayuda a que su actividad se mezcle con la actividad benigna de la red. Los dominios suelen tener temas tecnol\u00f3gicos o m\u00e9dicos, como <span style=\"font-family: 'courier new', courier, monospace;\">api.healthylifefeed[.]com<\/span>, <span style=\"font-family: 'courier new', courier, monospace;\">api.softmatictech[.]com<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">auth.onlinefieldtech[.]com<\/span>.<\/p>\n<p>Tambi\u00e9n observamos una clara separaci\u00f3n entre los diferentes servidores para las diferentes herramientas dentro de la cadena de ejecuci\u00f3n. Los dominios tienen formatos variables y est\u00e1n alojados en m\u00faltiples n\u00fameros de sistemas aut\u00f3nomos (ASN). Dado que los servidores est\u00e1n geolocalizados, las herramientas de an\u00e1lisis autom\u00e1tico no pueden ejecutar toda la cadena para enlazar las diferentes etapas.<\/p>\n<p>En esta campa\u00f1a, el grupo tom\u00f3 varias medidas de precauci\u00f3n para evitar la detecci\u00f3n y el an\u00e1lisis. Por ejemplo, las cargas secundarias est\u00e1n incrustadas en etiquetas HTML de una p\u00e1gina web aparentemente benigna. Adem\u00e1s, el servidor C2 realiza comprobaciones iniciales en el endpoint de la v\u00edctima, para evitar enviar la carga a entornos de sandbox. El servidor comprueba la geolocalizaci\u00f3n de la v\u00edctima y comprueba cadenas de agente de usuario espec\u00edficas en el tr\u00e1fico que son exclusivas del malware.<\/p>\n<h2><a id=\"post-168266-_heading=h.h1nyzbqlt8hr\"><\/a>La nueva suite de malware AshTag y la evoluci\u00f3n de la campa\u00f1a<\/h2>\n<p>La campa\u00f1a AshTag supone una mejora significativa con respecto a las herramientas tradicionales del grupo. En campa\u00f1as anteriores, los autores no entregaban una carga \u00fatil completa, sino que terminaban el proceso principal utilizando una simple DLL .NET. Consideramos que las campa\u00f1as anteriores observadas en el mundo real fueron una fase de prueba en el desarrollo de la cadena de ataque. Sin embargo, en esta campa\u00f1a, Ashen Lepus est\u00e1 implementando un conjunto de malware m\u00e1s sofisticado y con todas las funciones, al que hemos denominado AshTag. Unit 42 asigna el nombre \u201cLepus\u201d a los grupos de amenazas asociados con los territorios palestinos, y hemos etiquetado los componentes del malware como \u201cAsh\u201d para reflejar los recursos de ataque b\u00e1sicos y contundentes que se acumulan para sofocar las defensas del sistema, lo que permite que el ataque completo se afiance.<\/p>\n<p>AshTag es un conjunto de herramientas modulares .NET actualmente en desarrollo activo, con amplias funciones, entre las que se incluyen la exfiltraci\u00f3n de archivos, la descarga de contenido y la ejecuci\u00f3n en memoria de m\u00f3dulos adicionales.<\/p>\n<p>La cadena de infecci\u00f3n de AshTag se desarrolla de la siguiente manera:<\/p>\n<ul>\n<li>La v\u00edctima objetivo hace clic en el archivo binario, esperando abrir un documento.<\/li>\n<li>El archivo binario carga una DLL en segundo plano. Esta DLL es el primer cargador malicioso, al que llamamos AshenLoader.<\/li>\n<li>AshenLoader abre el documento PDF se\u00f1uelo en el escritorio.<\/li>\n<li>En segundo plano, AshenLoader recupera y ejecuta otro DLL cargado de forma paralela: un stager al que llamamos AshenStager.<\/li>\n<li>AshenStager recupera y ejecuta la carga \u00fatil de AshTag.<\/li>\n<li>AshenStager tambi\u00e9n establece su persistencia a trav\u00e9s de una tarea programada, ejecutada por <span style=\"font-family: 'courier new', courier, monospace;\">svchost.exe<\/span>.<\/li>\n<\/ul>\n<p>En la Figura 3 se muestra la cadena de ataque completa.<\/p>\n<figure id=\"attachment_168289\" aria-describedby=\"caption-attachment-168289\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168289 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-402330-168266-3.png\" alt=\"Diagrama de flujo que detalla el funcionamiento del conjunto de malware AshTag, comenzando con un enga\u00f1oso PDF vinculado en un correo electr\u00f3nico, pasando por m\u00faltiples etapas de ejecuci\u00f3n y carga de archivos, y culminando en tareas como la orquestaci\u00f3n, la inyecci\u00f3n de c\u00f3digo shell y la recopilaci\u00f3n de archivos para la persistencia. \" width=\"1000\" height=\"1337\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-402330-168266-3.png 1870w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-402330-168266-3-329x440.png 329w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-402330-168266-3-524x700.png 524w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-402330-168266-3-768x1027.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-402330-168266-3-1149x1536.png 1149w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-402330-168266-3-1532x2048.png 1532w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168289\" class=\"wp-caption-text\">Figura 3. La cadena completa de infecci\u00f3n del malware AshTag.<\/figcaption><\/figure>\n<h3><a id=\"post-168266-_heading=h.hd5pzem8mkfl\"><\/a>Flujo de ejecuci\u00f3n inicial del cargador<\/h3>\n<p>Cuando se ejecuta AshenLoader, intenta recopilar y enviar datos de reconocimiento iniciales al servidor C2 del atacante. La carga \u00fatil de AshenStager est\u00e1 incrustada en la p\u00e1gina web del C2, entre las etiquetas HTML personalizadas &lt;<span style=\"font-family: 'courier new', courier, monospace;\">headerp<\/span>&gt;, un m\u00e9todo de incrustaci\u00f3n que ya se ha <a href=\"https:\/\/www.own.security\/ressources\/blog\/wirte-analyse-campagne-cyber-own-cert\" target=\"_blank\" rel=\"noopener\">documentado<\/a> en el pasado. Adem\u00e1s de estas similitudes, hemos identificado nuevas caracter\u00edsticas de AshenLoader, que se describen en el <a href=\"#post-168266-_heading=h.p1voa8owf62r\" target=\"_blank\" rel=\"noopener\">Ap\u00e9ndice B<\/a>.<\/p>\n<p>AshenLoader recupera y ejecuta un stager al que denominamos AshenStager. En <a href=\"https:\/\/research.checkpoint.com\/2024\/hamas-affiliated-threat-actor-expands-to-disruptive-activity\/\" target=\"_blank\" rel=\"noopener\">campa\u00f1as anteriores<\/a>, este stager se llamaba Stager-X64, siguiendo la nomenclatura interna de los atacantes. Ahora rastreamos AshenStager como parte del conjunto de malware AshTag. AshenStager se carga lateralmente mediante un ejecutable leg\u00edtimo emparejado con una DLL personalizada maliciosa, llamada <span style=\"font-family: 'courier new', courier, monospace;\">wtsapi32.dll.<\/span><\/p>\n<p>AshenStager est\u00e1 dise\u00f1ado para enviar una solicitud HTTP a su servidor C2, donde analiza la respuesta HTML para extraer otra carga \u00fatil cifrada que se oculta dentro de las etiquetas &lt;<span style=\"font-family: 'courier new', courier, monospace;\">article<\/span>&gt;. Despu\u00e9s de extraer la carga \u00fatil, AshenStager decodifica, analiza e inyecta la carga \u00fatil en la memoria. La carga \u00fatil final de esta cadena es un conjunto de malware, que est\u00e1 orquestado por una herramienta que denominamos AshenOrchestrator. En la Figura 4 se muestra la carga \u00fatil codificada en Base64 del orquestador incrustada en el contenido HTML del servidor C2.<\/p>\n<figure id=\"attachment_168300\" aria-describedby=\"caption-attachment-168300\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168300 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-406388-168266-4.png\" alt=\"Captura de pantalla que muestra una secci\u00f3n del c\u00f3digo HTML en la que se destaca una clase de art\u00edculo con un identificador alfanum\u00e9rico largo dentro de una secci\u00f3n \u00abservicios\u00bb.\" width=\"800\" height=\"173\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-406388-168266-4.png 870w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-406388-168266-4-786x170.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-406388-168266-4-768x166.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-168300\" class=\"wp-caption-text\">Figura 4: Carga \u00fatil codificada en Base64 de AshenOrchestrator incrustada dentro de etiquetas HTML &lt;<span style=\"font-family: 'courier new', courier, monospace;\">articl<\/span>e&gt;.<\/figcaption><\/figure>\n<h3><a id=\"post-168266-_heading=h.r7dusmymtug\"><\/a>Suite de malware AshTag<\/h3>\n<p>AshTag es una puerta trasera modular .NET dise\u00f1ada para la persistencia sigilosa y la ejecuci\u00f3n remota de comandos. AshTag se disfraza como una utilidad leg\u00edtima de VisualServer para evadir sospechas. En realidad, esta puerta trasera es una suite de malware con m\u00faltiples funciones que utiliza AshenOrchestrator para llevar a cabo comunicaciones y ejecutar otras cargas \u00fatiles en la memoria.<\/p>\n<p>Cuando AshenStager recupera la carga \u00fatil de AshenOrchestrator, el stager recibe un archivo JSON codificado en Base64. El archivo JSON contiene la carga \u00fatil y la configuraci\u00f3n de la misma. La configuraci\u00f3n contiene par\u00e1metros como rutas URL espec\u00edficas que conducen a diferentes m\u00f3dulos, claves de cifrado y el dominio C2. La configuraci\u00f3n tambi\u00e9n incluye b\u00faferes de tiempo de espera (jitter), mn y mx, que se utilizan para evitar la detecci\u00f3n de la baliza C2. En la Figura 5 se muestra un ejemplo de dicha configuraci\u00f3n.<\/p>\n<figure id=\"attachment_168311\" aria-describedby=\"caption-attachment-168311\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168311 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-408859-168266-5.png\" alt=\"Captura de pantalla de un fragmento de c\u00f3digo con varios elementos identificados con recuadros rojos y flechas. Entre ellos se incluyen el dominio C2, los par\u00e1metros del agente de usuario, la fluctuaci\u00f3n m\u00ednima y m\u00e1xima, las rutas URL C2 con m\u00f3dulos adicionales y, por \u00faltimo, la clave XOR cifrada. \" width=\"1000\" height=\"344\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-408859-168266-5.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-408859-168266-5-786x271.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-408859-168266-5-1920x661.png 1920w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-408859-168266-5-768x264.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-408859-168266-5-1536x529.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168311\" class=\"wp-caption-text\">Figura 5. Configuraci\u00f3n descodificada de AshenOrchestrator.<\/figcaption><\/figure>\n<p>Al igual que la mayor\u00eda de las herramientas utilizadas en esta campa\u00f1a, AshenOrchestrator extrae su siguiente carga \u00fatil de etiquetas HTML incrustadas. Sin embargo, en este caso, la carga \u00fatil est\u00e1 a\u00fan mejor oculta. En lugar de utilizar un nombre de etiqueta codificado, el stager busca una etiqueta espec\u00edfica comentada dentro de la p\u00e1gina HTML que contiene el nombre de la etiqueta relevante. En la Figura 6 se muestra el esquema de incrustaci\u00f3n de la carga \u00fatil.<\/p>\n<figure id=\"attachment_168322\" aria-describedby=\"caption-attachment-168322\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168322 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-412048-168266-6.png\" alt=\"Collage de capturas de pantalla que muestra una p\u00e1gina web con elementos de codificaci\u00f3n, en la que se resaltan en rojo \u00abcarga \u00fatil cifrada con XOR\u00bb y \u00abm\u00f3dulo Base64 + par\u00e1metros\u00bb. Los m\u00faltiples paneles muestran c\u00f3digo HTML y JSON.\" width=\"1000\" height=\"262\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-412048-168266-6.png 1534w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-412048-168266-6-786x206.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-412048-168266-6-768x201.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168322\" class=\"wp-caption-text\">Figura 6. Proceso de decodificaci\u00f3n del m\u00f3dulo AshTag.<\/figcaption><\/figure>\n<p>AshenOrchestrator crea una clave AES \u00fanica a partir de los par\u00e1metros <span style=\"font-family: 'courier new', courier, monospace;\">tg<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">au<\/span>, y descifra la clave de cifrado XOR <span style=\"font-family: 'courier new', courier, monospace;\">xrk<\/span>. A continuaci\u00f3n, la clave XOR descifrada se utiliza para descifrar el valor HTML incrustado que contiene la carga \u00fatil. La carga \u00fatil en s\u00ed es un m\u00f3dulo espec\u00edfico contenido en otro JSON codificado en Base64 que tiene par\u00e1metros de configuraci\u00f3n adicionales. Estos par\u00e1metros determinan el nombre del m\u00e9todo de carga del m\u00f3dulo (<span style=\"font-family: 'courier new', courier, monospace;\">mna<\/span>) y el nombre de la clase (<span style=\"font-family: 'courier new', courier, monospace;\">cn<\/span>). En la Tabla 2 se enumeran los diferentes nombres de clase que espera AshenOrchestrator y sus funcionalidades inferidas.<\/p>\n<table style=\"width: 89.6544%;\">\n<tbody>\n<tr>\n<td style=\"width: 44.6384%; text-align: center;\"><strong>Nombre de clase (cn)<\/strong><\/td>\n<td style=\"width: 201.247%; text-align: center;\"><strong>Prop\u00f3sitos inferidos<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 44.6384%;\"><span style=\"font-family: 'courier new', courier, monospace;\">PR1, PR2, PR3<\/span><\/td>\n<td style=\"width: 201.247%;\">Persistencia<\/p>\n<p>Gesti\u00f3n de procesos<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 44.6384%;\"><span style=\"font-family: 'courier new', courier, monospace;\">UN1, UN2, UN3<\/span><\/td>\n<td style=\"width: 201.247%;\">Desinstalar<\/p>\n<p>Actualizar<\/p>\n<p>Eliminar<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 44.6384%;\"><span style=\"font-family: 'courier new', courier, monospace;\">SCT<\/span><\/td>\n<td style=\"width: 201.247%;\">Captura de pantalla<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 44.6384%;\"><span style=\"font-family: 'courier new', courier, monospace;\">FE<\/span><\/td>\n<td style=\"width: 201.247%;\">Explorador de archivos<\/p>\n<p>Gesti\u00f3n de archivos<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 44.6384%;\"><span style=\"font-family: 'courier new', courier, monospace;\">SN<\/span><\/td>\n<td style=\"width: 201.247%;\">Huella digital del sistema<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla\u00a02. Diferentes m\u00f3dulos de Ashen y sus prop\u00f3sitos inferidos.<\/span><\/p>\n<p>El valor mna determina la acci\u00f3n que AshenOrchestrator realiza para cada m\u00f3dulo que recupera. Hay cuatro acciones posibles:<\/p>\n<ul>\n<li>Cargar contenido adicional.<\/li>\n<li>Descargar el m\u00f3dulo al disco.<\/li>\n<li>Ejecutar el m\u00f3dulo como un ensamblado .NET.<\/li>\n<li>Inyectar el m\u00f3dulo en la memoria.<\/li>\n<\/ul>\n<p>El an\u00e1lisis del m\u00e9todo de inyecci\u00f3n revel\u00f3 que su c\u00f3digo no se hab\u00eda implementado realmente y solo devolv\u00eda <span style=\"font-family: 'courier new', courier, monospace;\">falso<\/span>, lo que indica que ciertos aspectos del conjunto de malware AshTag a\u00fan se encuentran en desarrollo activo.<\/p>\n<p>Recuperar los diferentes m\u00f3dulos para su an\u00e1lisis fue una tarea complicada, en parte porque Ashen Lepus parece estar rotando activamente los m\u00f3dulos que se ocultan dentro del contenido de la p\u00e1gina web. Esto explicar\u00eda por qu\u00e9 no todos los m\u00f3dulos est\u00e1n disponibles al mismo tiempo. Adem\u00e1s, descubrimos que diferentes claves de cifrado abren diferentes tipos de m\u00f3dulos.<\/p>\n<p>A pesar de estos factores que complican la tarea, pudimos recuperar uno de los m\u00f3dulos responsables de la huella digital del sistema, denominado internamente m\u00f3dulo SN. El m\u00f3dulo es un programa .NET extremadamente simple que ejecuta consultas WMI y env\u00eda un ID \u00fanico de la v\u00edctima a los atacantes. En la Figura 7 se muestra la funci\u00f3n principal del m\u00f3dulo SN.<\/p>\n<figure id=\"attachment_168333\" aria-describedby=\"caption-attachment-168333\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168333 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-414705-168266-7.png\" alt=\"\" width=\"1000\" height=\"497\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-414705-168266-7.png 1245w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-414705-168266-7-786x391.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-414705-168266-7-768x382.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168333\" class=\"wp-caption-text\">Figura 7: C\u00f3digo del m\u00f3dulo de huellas digitales <span style=\"font-family: 'courier new', courier, monospace;\">SN<\/span>.<\/figcaption><\/figure>\n<p>Identificamos las operaciones del agente de amenazas en nuestra telemetr\u00eda, lo que indicaba que utilizaban m\u00f3dulos adicionales para preparar y extraer archivos.<\/p>\n<h3><a id=\"post-168266-_heading=h.jg9zlr36h81z\"><\/a>Actividad manual de Ashen Lepus<\/h3>\n<p>Tras la infecci\u00f3n automatizada inicial, el autor de la amenaza accedi\u00f3 al sistema comprometido para llevar a cabo el robo manual de datos. Unos d\u00edas despu\u00e9s de la infecci\u00f3n original, los atacantes cargaron un m\u00f3dulo personalizado a trav\u00e9s de AshenOrchestrator y comenzaron a almacenar documentos espec\u00edficos en la carpeta <span style=\"font-family: 'courier new', courier, monospace;\">C:\\Users\\Public<\/span>.<\/p>\n<p>Nuestro an\u00e1lisis indica que el autor de la amenaza descarg\u00f3 estos documentos directamente de las cuentas de correo electr\u00f3nico de las v\u00edctimas, lo que revela el objetivo principal del grupo: obtener documentos espec\u00edficos relacionados con la diplomacia. Esto concuerda con informes anteriores sobre la pr\u00e1ctica del grupo de obtener informaci\u00f3n relacionada con conflictos geopol\u00edticos regionales.<\/p>\n<p>Para extraer los archivos almacenados, Ashen Lepus descarg\u00f3 la herramienta de c\u00f3digo abierto <a href=\"https:\/\/rclone.org\/\" target=\"_blank\" rel=\"noopener\">Rclone<\/a> y transfiri\u00f3 los datos a un servidor controlado por los atacantes. Esta parece ser la primera vez que se observa a este grupo de amenazas utilizando Rclone para la extracci\u00f3n de datos. Al hacerlo, Ashen Lepus se une a un n\u00famero cada vez mayor de actores que aprovechan las herramientas leg\u00edtimas de transferencia de archivos para mezclar su actividad maliciosa con el tr\u00e1fico de red benigno y evitar ser detectados.<\/p>\n<h2><a id=\"post-168266-_heading=h.qnqh5xu64fu\"><\/a>Conclusi\u00f3n<\/h2>\n<p>Ashen Lepus sigue siendo un actor de espionaje persistente, que demuestra una clara intenci\u00f3n de continuar sus operaciones a lo largo del reciente conflicto regional, a diferencia de otros grupos de amenazas afiliados, cuya actividad ha disminuido significativamente. Las actividades de los actores de amenazas a lo largo de los \u00faltimos dos a\u00f1os, en particular, ponen de relieve su compromiso con la recopilaci\u00f3n constante de informaci\u00f3n.<\/p>\n<p>Durante esta campa\u00f1a, Ashen Lepus ha comenzado a distribuir su nueva suite de malware, AshTag. AshTag es una suite modular .NET, capaz de exfiltrar datos, ejecutar comandos y ejecutar cargas \u00fatiles en memoria.<\/p>\n<p>Aunque las TTP b\u00e1sicas del grupo no son muy sofisticadas, esta campa\u00f1a revela una evoluci\u00f3n en su enfoque. Hemos observado un claro esfuerzo por mejorar la seguridad operativa mediante la mejora del cifrado de la carga \u00fatil, el traslado de la infraestructura a subdominios de apariencia inocente y la ejecuci\u00f3n de cargas \u00fatiles en la memoria. Esta metodolog\u00eda de \"bajo costo y alto impacto\" permite a los actores de amenazas eludir eficazmente las defensas est\u00e1ticas y frustrar los an\u00e1lisis.<\/p>\n<p>La expansi\u00f3n de la victimolog\u00eda de Ashen Lepus m\u00e1s all\u00e1 de sus objetivos geogr\u00e1ficos tradicionales, unida a los nuevos temas de los se\u00f1uelos, sugiere una ampliaci\u00f3n de su \u00e1mbito operativo. Estimamos que Ashen Lepus seguir\u00e1 adaptando su conjunto de herramientas y sus objetivos para perseguir sus objetivos de inteligencia geopol\u00edtica. Las organizaciones de Oriente Medio, en particular las del sector gubernamental y diplom\u00e1tico, deben permanecer alerta ante esta amenaza en evoluci\u00f3n.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas descritas en este art\u00edculo por medio de los siguientes productos y servicios:<\/p>\n<ul>\n<li>Los modelos de aprendizaje autom\u00e1tico y las t\u00e9cnicas de an\u00e1lisis de <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a> se han revisado y actualizado a la luz de los indicadores compartidos en esta investigaci\u00f3n.<\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">URL Filtering avanzado<\/a> y<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security <\/a> identifican como maliciosos los dominios y URL conocidos asociados con esta actividad.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex XDR<\/a> y <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a>\n<ul>\n<li>Cortex XDR ayuda a prevenir las amenazas descritas en este blog empleando el <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-4.x-Documentation\/Malware-protection\" target=\"_blank\" rel=\"noopener\">motor de prevenci\u00f3n de malware<\/a>. Este enfoque combina varias capas de protecci\u00f3n, entre ellas <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a>, la protecci\u00f3n contra amenazas de comportamiento y el m\u00f3dulo de an\u00e1lisis local, para ayudar a impedir que el malware, tanto conocido como desconocido, cause da\u00f1os en los endpoints.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Si cree que puede haber resultado vulnerado o tiene un problema urgente, p\u00f3ngase en contacto con el <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">equipo de respuesta ante incidentes de Unit\u00a042<\/a> o llame al:<\/p>\n<ul>\n<li>Norteam\u00e9rica: llamada gratuita: +1\u00a0(866)\u00a0486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00 800 050 45107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente medidas de protecci\u00f3n para sus clientes y desarticular sistem\u00e1ticamente a los ciberdelincuentes. Obtenga m\u00e1s informaci\u00f3n sobre <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-168266-_heading=h.uhw5vz9pf8jz\"><\/a>Indicadores de vulneraci\u00f3n (IoC)<\/h2>\n<p><strong>Hashes SHA256 de muestras de malware<\/strong><\/p>\n<p><strong>Archivos RAR<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">3502c9e4896802f069ef9dcdba2a7476e1208ece3cd5ced9f1c4fd32d4d0d768<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">1f3bd755de24e00af2dba61f938637d1cc0fbfd6166dba014e665033ad4445c0<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">4e1f7b48249dd5bf3a857d5d017f0b88c0372749fa156f5456056767c5548345<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">3d445c25752f86c65e03d4ebed6d563d48a22e424ba855001ad2db2290bf564c<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">7e5769cd8128033fc933fbf3346fe2eb9c8e9fc6aa683546e9573e7aa01a8b6b<\/span><\/li>\n<\/ul>\n<p><strong>Variante n.\u00ba 1 de AshenLoader<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">f554c43707f5d87625a3834116a2d22f551b1d9a5aff1e446d24893975c431bc - dwampi.dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a17858f40ff506d59b5ee1ba2579da1685345206f2c7d78cb2c9c578a0c4402b - dwampi.dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ebe3b6977f66be30a22c2aff9b50fec8529dfa46415ea489bd7961552868f6b5 - dwampi.dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">8870bd358d605a5685a5f9f7785b5fee5aebdcb20e4e62153623f764d7366a3c - dwampi.dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">2d71d7e6ffecab8eefa2d6a885bcefe639fca988bdcac99e9b057e61698a1fd6 - dwampi.dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">8c44fa9bf68341c61ccaca0a3723945543e2a04d9db712ae50861e3fa6d9cc98 - wtsapi32.dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">f380bd95156fbfb93537f35941278778819df1629cb4c5a4e09fe17f6293b7b7 - wtsapi32.dll<\/span><\/li>\n<\/ul>\n<p><strong>Variante n.\u00ba 2 de AshenLoader<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">f9816bc81de2e8639482c877a8defcaed9b15ffdce12beaef1cff3fea95999d4 - srvcli.dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e71a292eafe0ca202f646af7027c17faaa969177818caf08569bd77838e93064 - srvcli.dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">739a5199add1d970ba22d69cc10b4c3a13b72136be6d45212429e8f0969af3dc - netutils.dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b00491dc178a3d4f320951bccb17eb85bfef23e718b4b94eb597c90b5b6e0ba2 - netutils.dll<\/span><\/li>\n<\/ul>\n<p><strong>AshenStager<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">6bd3d05aef89cd03d6b49b20716775fe92f0cf8a3c2747094404ef98f96e9376 - wtsapi32.dll<\/span><\/li>\n<\/ul>\n<p><strong>AshenOrchestrator<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">30490ba95c42cefcca1d0328ea740e61c26eaf606a98f68d26c4a519ce918c99<\/span><\/li>\n<\/ul>\n<p><strong>M\u00f3dulo AshTag designado como \"SN\"<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">66ab29d2d62548faeaeadaad9dd62818163175872703fda328bb1b4894f5e69e<\/span><\/li>\n<\/ul>\n<p><strong>Claves AES y Nonce<\/strong><\/p>\n<p><strong>Variante n.\u00ba 1 de AshenLoader<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\"><span style=\"font-family: georgia, palatino, serif;\">Clave:<\/span> {9a 20 51 98 4a 2b b1 76 ef 98 87 e3 be 87 f9 ca 44 ba 8c 19 a8 ef ba 55 62 98 e1 2a 39 21 ea 8b}<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\"><span style=\"font-family: georgia, palatino, serif;\">Nonce:<\/span> {44 ba 8c 19 a8 ef ba 55 62 98 e1 2a 39 21 ea 8b}<\/span><\/li>\n<\/ul>\n<p><strong>Variante n.\u00ba 2 de AshenLoader<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\"><span style=\"font-family: georgia, palatino, serif;\">Clave:<\/span> {60 3d eb 10 15 ca 71 be 2b 73 ae f0 85 7d 77 81 1f 35 2c 07 3b 61 08 d7 2d 98 10 a3 09 14 df f4} (generic default key)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\"><span style=\"font-family: georgia, palatino, serif;\">Nonce:<\/span> {f0 f1 f2 f3 f4 f5 f6 f7 f8 f9 fa fb fc fd fe ff} (nonce gen\u00e9rico por defecto)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Clave XOR de AshenStager: msasn1.dll<\/span><\/li>\n<\/ul>\n<p><strong>Dominios C2<\/strong><\/p>\n<p><strong>Puerta trasera<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">forum.techtg[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">forum.technoforts[.]com<\/span><\/li>\n<\/ul>\n<p><strong>Servidor de exfiltraci\u00f3n<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">api.technology-system[.]com<\/span><\/li>\n<\/ul>\n<p><strong>Variantes de cargadores n.\u00ba 1<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">api.healthylifefeed[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">api.softmatictech[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">apiv2.onlinefieldtech[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">auth.onlinefieldtech[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">status.techupinfo[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">api.medicinefinders[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">account.techupinfo[.]com<\/span><\/li>\n<\/ul>\n<p><strong>Variantes de cargadores n.\u00ba 2<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">api.systemsync[.]info<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">api.widetechno[.]info<\/span><\/li>\n<\/ul>\n<p><strong>Nombres de tareas programadas<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Windows\\System32\\Tasks\\Windows\\WindowsDefenderUpdate\\Windows Defender Updater<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Windows\\System32\\Tasks\\Windows\\WindowsServicesUpdate\\Windows Services Updater<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Windows\\System32\\Tasks\\Automatic Windows Update<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-168266-_heading=h.457jidmy94z3\"><\/a>Ap\u00e9ndice\u00a0A: Atribuci\u00f3n<\/h2>\n<p>Nuestra evaluaci\u00f3n utiliza el <a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/\" target=\"_blank\" rel=\"noopener\">Marco de atribuci\u00f3n de Unit 42,<\/a> que proporciona una metodolog\u00eda sistem\u00e1tica y basada en pruebas para relacionar la actividad maliciosa observada con grupos de amenazas espec\u00edficos. Este enfoque va m\u00e1s all\u00e1 de las evaluaciones subjetivas, lo que nos permite evaluar rigurosamente varias dimensiones de los datos sobre amenazas, incluidas las TTP, las herramientas, la seguridad operativa, la infraestructura de red y la victimolog\u00eda.<\/p>\n<h3><a id=\"post-168266-_heading=h.t3c0k0cwjkty\"><\/a><strong>T\u00e1cticas, t\u00e9cnicas y procedimientos (TTP)<\/strong><\/h3>\n<p>Existe una coincidencia significativa entre esta campa\u00f1a y el modus operandi habitual de Ashen Lepus. El grupo crea constantemente se\u00f1uelos escritos en \u00e1rabe que se centran en la situaci\u00f3n pol\u00edtica y militar en Oriente Medio, con especial \u00e9nfasis en los territorios palestinos.<\/p>\n<p>Aunque la informaci\u00f3n p\u00fablica sobre la actividad del grupo tras el compromiso es limitada, las acciones de espionaje observadas en este incidente, concretamente el robo selectivo de documentos diplom\u00e1ticos, guardan una estrecha relaci\u00f3n con los intereses conocidos del grupo en materia de recopilaci\u00f3n de informaci\u00f3n y su nivel de sofisticaci\u00f3n.<\/p>\n<h3><a id=\"post-168266-_heading=h.irmow6brn7cv\"><\/a><strong>Superposiciones de la infraestructura<\/strong><\/h3>\n<p>Hemos identificado claras coincidencias en la infraestructura con informes hist\u00f3ricos sobre el grupo. En concreto, la estructura de las URL observada en esta campa\u00f1a coincide con <a href=\"https:\/\/research.checkpoint.com\/2024\/hamas-affiliated-threat-actor-expands-to-disruptive-activity\/\" target=\"_blank\" rel=\"noopener\">los hallazgos de Check Point<\/a>. Por ejemplo, la URL citada en su informe tiene el mismo esquema de nomenclatura de subdominios y la misma estructura de par\u00e1metros de URL que observamos en versiones anteriores del cargador (api\/v1.0\/account?token=):<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps:\/\/<strong>support-api<\/strong>.financecovers[.]com\/<strong>api\/v1.0<\/strong>\/<strong>account?token=<\/strong>{encrypted_recon_data}<\/span><\/li>\n<\/ul>\n<p>En el <a href=\"https:\/\/www.own.security\/ressources\/blog\/wirte-analyse-campagne-cyber-own-cert\" target=\"_blank\" rel=\"noopener\">informe<\/a> de OWN Security tambi\u00e9n se document\u00f3 una URL similar:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">https:\/\/<strong>cdn<\/strong>.techpointinfo.com\/<strong>api\/v1.0\/account?token=<\/strong>{encrypted_recon_data}<\/span><\/li>\n<\/ul>\n<p><strong>Artefactos de malware<\/strong><\/p>\n<p>El an\u00e1lisis del cargador revela caracter\u00edsticas clave que coinciden con campa\u00f1as anteriores de este grupo, seg\u00fan lo <a href=\"https:\/\/research.checkpoint.com\/2024\/hamas-affiliated-threat-actor-expands-to-disruptive-activity\/\" target=\"_blank\" rel=\"noopener\">documentado<\/a> por Check Point. En particular, el cargador sigue incrustando cargas \u00fatiles de la siguiente etapa dentro de etiquetas HTML de p\u00e1ginas web aparentemente benignas y utiliza se\u00f1uelos de ejecuci\u00f3n con una estructura similar para iniciar la cadena de infecci\u00f3n. El grupo tambi\u00e9n utiliza los mismos nombres de archivo para sus cargas \u00fatiles: tanto su puerta trasera SharpStage .NET como las versiones anteriores de su cargador se denominaban<span style=\"font-family: 'courier new', courier, monospace;\"> wtsapi32.dll<\/span>.<\/p>\n<h2><a id=\"post-168266-_heading=h.p1voa8owf62r\"><\/a>Ap\u00e9ndice\u00a0B: Desarrollo de nuevas versiones del cargador<\/h2>\n<p>AshenLoader es una posible evoluci\u00f3n del <a href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/ta402-uses-complex-ironwind-infection-chains-target-middle-east-based-government\" target=\"_blank\" rel=\"noopener\">anterior<\/a> cargador IronWind del grupo. A lo largo de 2025, Ashen Lepus estuvo modificando activamente AshenLoader, que en su mayor parte conserv\u00f3 la misma funcionalidad. Adem\u00e1s de la capacidad de AshenLoader para comunicarse con el servidor C2 para descargar y ejecutar cargas \u00fatiles adicionales, se actualizaron las siguientes caracter\u00edsticas:<\/p>\n<ul>\n<li><strong>Algoritmo de cifrado:<\/strong> los autores de la amenaza implementaron un cifrado AES-CTR-256 en las versiones del malware que compilaron desde principios hasta finales de 2025, en contraste con el algoritmo TEA mencionado en investigaciones anteriores. En las muestras compiladas desde mediados hasta finales de 2025, los autores modificaron los valores de la clave de cifrado y el contador (nonce). En ambas variantes, el nonce y las claves AES est\u00e1n codificados en los binarios.<\/li>\n<li><strong>Huellas digitales de datos adicionales de los endpoints infectados:<\/strong> las nuevas variantes proporcionan a los autores de la amenaza informaci\u00f3n m\u00e1s detallada sobre el terminal infectado que las versiones anteriores, como la lista de archivos del directorio ProgramFiles.<\/li>\n<li><strong>Actualizaciones de URI: <\/strong>las variantes analizadas en investigaciones p\u00fablicas anteriores utilizaban el par\u00e1metro token enviado en la solicitud GET inicial de baliza. Las variantes anteriores de 2025 pasaron a utilizar los par\u00e1metros id= y q=. Las variantes de finales de 2025 cambiaron de nuevo el esquema y comenzaron a utilizar auth=. Adem\u00e1s, parte de la URI cambi\u00f3 de \/v1\/ a \/v2\/.<\/li>\n<\/ul>\n<p>Aunque estas caracter\u00edsticas no cambian significativamente la funcionalidad del cargador, son formas sencillas y eficaces de evitar los motores de detecci\u00f3n est\u00e1ticos.<\/p>\n<h2><a id=\"post-168266-_heading=h.nyryjmy4zy5y\"><\/a>Recursos adicionales<\/h2>\n<p><a href=\"https:\/\/research.checkpoint.com\/2024\/hamas-affiliated-threat-actor-expands-to-disruptive-activity\/\" target=\"_blank\" rel=\"noopener\">El actor de amenazas afiliado a Ham\u00e1s, WIRTE, contin\u00faa sus operaciones en Oriente Medio y pasa a realizar actividades disruptivas<\/a> - Check Point<\/p>\n<p><a href=\"https:\/\/www.cybereason.com\/hubfs\/dam\/collateral\/reports\/Molerats-in-the-Cloud-New-Malware-Arsenal-Abuses-Cloud-Platforms-in-Middle-East-Espionage-Campaign.pdf\" target=\"_blank\" rel=\"noopener\">Molerats en la nube<\/a> - Cybereason<\/p>\n<p><a href=\"https:\/\/apt.etda.or.th\/cgi-bin\/showcard.cgi?g=WIRTE%20Group&amp;n=1\" target=\"_blank\" rel=\"noopener\">Tarjeta del grupo de amenazas WIRTE<\/a> - Agencia de Desarrollo de Transacciones Electr\u00f3nicas (ETDA)<\/p>\n<p><a href=\"https:\/\/www.own.security\/ressources\/blog\/wirte-analyse-campagne-cyber-own-cert\" target=\"_blank\" rel=\"noopener\">WIRTE: : \u00e0 la recherche du temps perdu<\/a> - OWN CERT<\/p>\n<p><a href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/ta402-uses-complex-ironwind-infection-chains-target-middle-east-based-government\" target=\"_blank\" rel=\"noopener\">TA402 utiliza complejas cadenas de infecci\u00f3n IronWind para atacar a entidades gubernamentales con sede en Oriente Medio <\/a> - Proofpoint<\/p>\n","protected":false},"excerpt":{"rendered":"<p>El actor malicioso afiliado a Ham\u00e1s, Ashen Lepus (tambi\u00e9n conocido como WIRTE), est\u00e1 llevando a cabo actividades de espionaje con su nueva suite de malware AshTag contra entidades gubernamentales de Oriente Medio. <\/p>\n","protected":false},"author":23,"featured_media":167989,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8829,8793],"tags":[9832,9833,9834],"product_categories":[8922,8924,8925,8921,8932,8934,8935,8890],"coauthors":[1025],"class_list":["post-168266","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-actor-groups-es-la","category-malware-es-la","tag-ashen-lepus-es-la","tag-espionage-es-la","tag-wirte-es-la","product_categories-advanced-dns-security-es-la","product_categories-advanced-url-filtering-es-la","product_categories-advanced-wildfire-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-cortex-es-la","product_categories-cortex-xdr-es-la","product_categories-cortex-xsiam-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Ashen Lepus, afiliado a Ham\u00e1s, ataca a entidades diplom\u00e1ticas de Oriente Medio con el nuevo conjunto de malware AshTag<\/title>\n<meta name=\"description\" content=\"El actor malicioso afiliado a Ham\u00e1s, Ashen Lepus (tambi\u00e9n conocido como WIRTE), est\u00e1 llevando a cabo actividades de espionaje con su nueva suite de malware AshTag contra entidades gubernamentales de Oriente Medio.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Ashen Lepus, afiliado a Ham\u00e1s, ataca a entidades diplom\u00e1ticas de Oriente Medio con el nuevo conjunto de malware AshTag\" \/>\n<meta property=\"og:description\" content=\"El actor malicioso afiliado a Ham\u00e1s, Ashen Lepus (tambi\u00e9n conocido como WIRTE), est\u00e1 llevando a cabo actividades de espionaje con su nueva suite de malware AshTag contra entidades gubernamentales de Oriente Medio.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-12-11T11:00:15+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-12-18T18:27:24+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/10-01-Ashen-Lepus-1920x900-1.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Ashen Lepus, afiliado a Ham\u00e1s, ataca a entidades diplom\u00e1ticas de Oriente Medio con el nuevo conjunto de malware AshTag","description":"El actor malicioso afiliado a Ham\u00e1s, Ashen Lepus (tambi\u00e9n conocido como WIRTE), est\u00e1 llevando a cabo actividades de espionaje con su nueva suite de malware AshTag contra entidades gubernamentales de Oriente Medio.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/","og_locale":"es_LA","og_type":"article","og_title":"Ashen Lepus, afiliado a Ham\u00e1s, ataca a entidades diplom\u00e1ticas de Oriente Medio con el nuevo conjunto de malware AshTag","og_description":"El actor malicioso afiliado a Ham\u00e1s, Ashen Lepus (tambi\u00e9n conocido como WIRTE), est\u00e1 llevando a cabo actividades de espionaje con su nueva suite de malware AshTag contra entidades gubernamentales de Oriente Medio.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/","og_site_name":"Unit 42","article_published_time":"2025-12-11T11:00:15+00:00","article_modified_time":"2025-12-18T18:27:24+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/10-01-Ashen-Lepus-1920x900-1.png","type":"image\/png"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"Ashen Lepus, afiliado a Ham\u00e1s, ataca a entidades diplom\u00e1ticas de Oriente Medio con el nuevo conjunto de malware AshTag","datePublished":"2025-12-11T11:00:15+00:00","dateModified":"2025-12-18T18:27:24+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/"},"wordCount":4550,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/10-01-Ashen-Lepus-1920x900-1.png","keywords":["Ashen Lepus","Espionage","WIRTE"],"articleSection":["Grupos de actores de amenazas","Malware"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/","name":"Ashen Lepus, afiliado a Ham\u00e1s, ataca a entidades diplom\u00e1ticas de Oriente Medio con el nuevo conjunto de malware AshTag","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/10-01-Ashen-Lepus-1920x900-1.png","datePublished":"2025-12-11T11:00:15+00:00","dateModified":"2025-12-18T18:27:24+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"El actor malicioso afiliado a Ham\u00e1s, Ashen Lepus (tambi\u00e9n conocido como WIRTE), est\u00e1 llevando a cabo actividades de espionaje con su nueva suite de malware AshTag contra entidades gubernamentales de Oriente Medio.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/10-01-Ashen-Lepus-1920x900-1.png","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/10-01-Ashen-Lepus-1920x900-1.png","width":1920,"height":900,"caption":"Pictorial representation of APT Ashen Lepus. The silhouette of a hare and the Lepus constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple shapes, representing space and distant planetary bodies."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Ashen Lepus, afiliado a Ham\u00e1s, ataca a entidades diplom\u00e1ticas de Oriente Medio con el nuevo conjunto de malware AshTag"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Unit 42"},"url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/168266","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=168266"}],"version-history":[{"count":4,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/168266\/revisions"}],"predecessor-version":[{"id":169021,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/168266\/revisions\/169021"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/167989"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=168266"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=168266"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=168266"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=168266"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=168266"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}