{"id":168169,"date":"2025-12-11T03:00:28","date_gmt":"2025-12-11T11:00:28","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=168169"},"modified":"2025-12-17T08:09:24","modified_gmt":"2025-12-17T16:09:24","slug":"hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/","title":{"rendered":"Ashen\u00a0Lepus, un groupe affili\u00e9 au Hamas, cible des entit\u00e9s diplomatiques du Moyen-Orient avec AshTag, sa nouvelle suite de malwares"},"content":{"rendered":"<h2><a id=\"post-168169-_heading=h.x9j9es2lq52f\"><\/a>Avant-propos<\/h2>\n<p>Au cours des derniers mois, nous avons analys\u00e9 l\u2019activit\u00e9 d\u2019une menace persistante avanc\u00e9e (APT) connue pour ses op\u00e9rations d\u2019espionnage visant des entit\u00e9s gouvernementales arabophones. Nous suivons cet acteur de la menace actif au Moyen-Orient sous le nom d\u2019Ashen\u00a0Lepus (ou <a href=\"https:\/\/apt.etda.or.th\/cgi-bin\/showcard.cgi?g=WIRTE%20Group&amp;n=1\" target=\"_blank\" rel=\"noopener\">WIRTE<\/a>).<\/p>\n<p>Nous partageons ici des \u00e9l\u00e9ments relatifs \u00e0 une campagne d\u2019espionnage de longue dur\u00e9e et difficile \u00e0 d\u00e9tecter, ciblant des entit\u00e9s gouvernementales et diplomatiques dans l\u2019ensemble du Moyen-Orient. Nous avons constat\u00e9 que le groupe a d\u00e9velopp\u00e9 de nouvelles versions de son loader personnalis\u00e9 \u2013\u00a0<a href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/ta402-uses-complex-ironwind-infection-chains-target-middle-east-based-government\" target=\"_blank\" rel=\"noopener\">et d\u00e9j\u00e0 document\u00e9<\/a> \u2013, permettant le d\u00e9ploiement d\u2019une nouvelle suite de malwares, que nous avons baptis\u00e9e \u00ab AshTag \u00bb. Le groupe a \u00e9galement mis \u00e0 jour son architecture de commande et contr\u00f4le (CnC) pour contourner l\u2019analyse et se fondre dans le trafic internet l\u00e9gitime.<\/p>\n<p>Ashen\u00a0Lepus est rest\u00e9 tr\u00e8s actif tout au long du conflit Isra\u00ebl-Hamas, au contraire d\u2019autres groupes affili\u00e9s dont l\u2019activit\u00e9 a diminu\u00e9 sur la m\u00eame p\u00e9riode. Le groupe a poursuivi sa campagne m\u00eame apr\u00e8s le cessez-le-feu de d\u2019octobre\u00a02025, en d\u00e9ployant de nouvelles variantes de malwares et en agissant directement sur les environnements compromis.<\/p>\n<p>Cette campagne montre une \u00e9volution tangible de la s\u00e9curit\u00e9 op\u00e9rationnelle d\u2019Ashen Lepus, ainsi que de ses tactiques, techniques et proc\u00e9dures\u00a0(TTP). Si ses op\u00e9rations se caract\u00e9risaient jusqu\u2019\u00e0 pr\u00e9sent par une sophistication plut\u00f4t mod\u00e9r\u00e9e, le groupe a d\u00e9sormais recours \u00e0 des tactiques sensiblement plus avanc\u00e9es. Citons notamment\u00a0:<\/p>\n<ul>\n<li>Un chiffrement renforc\u00e9 et personnalis\u00e9 des payloads\u00a0;<\/li>\n<li>Une obfuscation de l\u2019infrastructure \u00e0 l\u2019aide de sous-domaines l\u00e9gitimes\u00a0;<\/li>\n<li>Une ex\u00e9cution en m\u00e9moire afin de r\u00e9duire les artefacts forensiques.<\/li>\n<\/ul>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces d\u00e9crites dans cet article gr\u00e2ce aux produits et services suivants\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-wildfire\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0WildFire<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> et <a href=\"https:\/\/www.paloaltonetworks.com\/network-security\/advanced-dns-security\" target=\"_blank\" rel=\"noopener\">Advanced DNS Security<\/a><\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0XDR<\/a> et <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a><\/li>\n<\/ul>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a>.<\/p>\n<table style=\"width: 98.4489%;\">\n<thead>\n<tr style=\"height: 20px;\">\n<td style=\"width: 35%; height: 20px;\"><b>Unit\u00a042 \u2013\u00a0Th\u00e9matiques connexes<\/b><\/td>\n<td style=\"width: 179.371%; height: 20px;\"><b><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/category\/malware-fr\/\" target=\"_blank\" rel=\"noopener\">Malware<\/a>, <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/category\/threat-actor-groups-fr\/\" target=\"_blank\" rel=\"noopener\">Groupes d'acteurs malveillants<\/a><\/b><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-168169-_heading=h.zc0d0v5q3gjl\"><\/a>Ashen Lepus \u2013\u00a0Contexte<\/h2>\n<p>Nous avons analys\u00e9 une campagne men\u00e9e par un <a href=\"https:\/\/apt.etda.or.th\/cgi-bin\/showcard.cgi?g=WIRTE%20Group&amp;n=1\" target=\"_blank\" rel=\"noopener\">groupe affili\u00e9 au Hamas<\/a>, actif depuis 2018. Ses op\u00e9rations portent essentiellement sur le cyberespionnage et la collecte de renseignement, avec pour cibles des entit\u00e9s gouvernementales au Moyen-Orient.<\/p>\n<p>Nous attribuons cette activit\u00e9 \u00e0 Ashen\u00a0Lepus avec un niveau de confiance \u00e9lev\u00e9. Cette attribution s\u2019appuie sur le <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/\" target=\"_blank\" rel=\"noopener\">cadre d\u2019attribution d\u2019Unit\u00a042<\/a> et prend en compte l\u2019infrastructure r\u00e9seau, le modus operandi et les malwares utilis\u00e9s par le groupe au fil de ses campagnes. Les \u00e9l\u00e9ments d\u2019attribution correspondants figurent en <a href=\"#post-168169-_heading=h.wfws1zxii7hh\" target=\"_blank\" rel=\"noopener\">Annexe\u00a0A<\/a>.<\/p>\n<h2><a id=\"post-168169-_heading=h.xt9bgdb2adru\"><\/a>Op\u00e9rations d\u2019Ashen\u00a0Lepus\u00a0: Victimologie et motivations<\/h2>\n<p>Ashen\u00a0Lepus est connu pour cibler des entit\u00e9s situ\u00e9es dans son voisinage g\u00e9ographique imm\u00e9diat, notamment l\u2019Autorit\u00e9 palestinienne, l\u2019\u00c9gypte et la Jordanie. Les campagnes r\u00e9centes t\u00e9moignent toutefois d\u2019un \u00e9largissement notable de son p\u00e9rim\u00e8tre op\u00e9rationnel\u00a0: d\u2019apr\u00e8s de r\u00e9centes soumissions \u00e0 VirusTotal, le groupe vise d\u00e9sormais des entit\u00e9s d\u2019autres pays arabophones, parmi lesquels Oman et le Maroc.<\/p>\n<p>Malgr\u00e9 l\u2019\u00e9largissement g\u00e9ographique de leurs attaques r\u00e9centes, les th\u00e9matiques de leurs leurres restent globalement inchang\u00e9es. La majorit\u00e9 continue de porter sur des enjeux g\u00e9opolitiques du Moyen-Orient, en particulier ceux li\u00e9s aux territoires palestiniens. Toutefois, la campagne actuelle montre une hausse des leurres faisant r\u00e9f\u00e9rence \u00e0 la Turquie et \u00e0 ses relations avec l\u2019administration palestinienne. Le Tableau 1 pr\u00e9sente ces th\u00e9matiques.<\/p>\n<table>\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><strong>Th\u00e8me des leurres<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Traduction automatique<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: right;\">\u0627\u062a\u0641\u0627\u0642\u064a\u0629 \u0627\u0644\u0634\u0631\u0627\u0643\u0629 \u0628\u064a\u0646 \u0627\u0644\u0645\u063a\u0631\u0628 \u0648\u062a\u0631\u0643\u064a\u0627<\/td>\n<td>Accord de partenariat entre le Maroc et la Turquie<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: right;\">1302 \u0648\u0632\u064a\u0631 \u0627\u0644\u062f\u0641\u0627\u0639 \u0627\u0644\u062a\u0631\u0643\u064a \u063a\u064a\u0631\u0646\u0627 \u0627\u0633\u062a\u0631\u0627\u062a\u064a\u062c\u064a\u062a\u0646\u0627 \u0641\u064a \u0645\u0643\u0627\u0641\u062d\u0629 \u0627\u0644\u062a\u0646\u0638\u064a\u0645\u0627\u062a \u0627\u0644\u0627\u0631\u0647\u0627\u0628\u064a\u0629<\/td>\n<td>1302 Le ministre turc de la D\u00e9fense\u00a0: Nous avons modifi\u00e9 notre strat\u00e9gie de lutte contre les organisations terroristes<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: right;\">\u0623\u0646\u0628\u0627\u0621 \u0639\u0646 \u062a\u062f\u0631\u064a\u0628 \u0639\u0646\u0627\u0635\u0631 \u0645\u0646 \u062d\u0645\u0627\u0633 \u0641\u064a \u0633\u0648\u0631\u064a\u0627 \u062a\u062d\u062f\u064a\u062f\u0627 \u0641\u064a \u0627\u0644\u062c\u0646\u0648\u0628 \u0628\u062f\u0639\u0645 \u062a\u0631\u0643\u064a<\/td>\n<td>Informations sur l\u2019entra\u00eenement d\u2019\u00e9l\u00e9ments du Hamas en Syrie, notamment dans le sud, avec un appui turc<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: right;\">\u062a\u0642\u0631\u064a\u0631 \u0639\u0646 \u0645\u0642\u062a\u0631\u062d \u062d\u0645\u0627\u0633 \u0644\u062a\u0648\u062d\u064a\u062f \u0627\u0644\u0633\u0644\u0627\u062d \u0627\u0644\u0641\u0644\u0633\u0637\u064a\u0646\u064a \u062a\u062d\u062a \u0645\u0638\u0644\u0629 \u0627\u0644\u0633\u0644\u0637\u0629<\/td>\n<td>Rapport sur la proposition du Hamas visant \u00e0 unifier les armes palestiniennes sous l\u2019\u00e9gide de l\u2019Autorit\u00e9<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: right;\">\u0645\u0634\u0627\u0631\u064a\u0639 \u0627\u0644\u0642\u0631\u0627\u0631\u0627\u062a \u0627\u0644\u062e\u0627\u0635\u0629 \u0628\u062f\u0648\u0644\u0629 \u0641\u0644\u0633\u0637\u064a\u0646 \u0633\u0631\u064a \u0644\u0644\u063a\u0627\u064a\u0629<\/td>\n<td>Projets de r\u00e9solutions concernant l\u2019\u00c9tat de Palestine \u2013\u00a0Top Secret<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau\u00a01. Th\u00e8mes des leurres utilis\u00e9s dans une campagne r\u00e9cente d\u2019Ashen\u00a0Lepus.<\/span><\/p>\n<h2><a id=\"post-168169-_heading=h.80h8yq2kbr96\"><\/a>Analyse des \u00e9volutions r\u00e9centes de la campagne d\u2019Ashen\u00a0Lepus<\/h2>\n<h3><a id=\"post-168169-_heading=h.1pr41kwah175\"><\/a>Analyse des archives RAR utilis\u00e9es comme leurres<\/h3>\n<p>\u200bDepuis <a href=\"https:\/\/www.cybereason.com\/hubfs\/dam\/collateral\/reports\/Molerats-in-the-Cloud-New-Malware-Arsenal-Abuses-Cloud-Platforms-in-Middle-East-Espionage-Campaign.pdf\" target=\"_blank\" rel=\"noopener\">au moins 2020<\/a>, Ashen Lepus utilise une cha\u00eene d\u2019infection multi-\u00e9tapes, stable dans sa structure, pour d\u00e9livrer une nouvelle <span style=\"font-weight: 400;\">suite de malwares <\/span>que nous appelons \u00ab AshTag \u00bb. Cette cha\u00eene d\u00e9bute g\u00e9n\u00e9ralement par un leurre b\u00e9nin au format PDF, qui redirige la cible vers un service de partage de fichiers permettant de t\u00e9l\u00e9charger une archive RAR contenant le payload malveillant. La Figure 1 pr\u00e9sente deux exemples de leurres, li\u00e9s \u00e0 des discussions men\u00e9es par la Ligue des \u00c9tats arabes et le Conseil de s\u00e9curit\u00e9 des Nations Unies.<\/p>\n<figure id=\"attachment_168170\" aria-describedby=\"caption-attachment-168170\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168170 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-665149-168169-1.png\" alt=\"Image num\u00e9ris\u00e9e d'un document de deux pages r\u00e9dig\u00e9 en arabe, avec le blason de l'Arabie saoudite en haut de la premi\u00e8re page. Le document semble officiel, il s'agit peut-\u00eatre d'un document gouvernemental ou juridique.\" width=\"1000\" height=\"485\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-665149-168169-1.png 1670w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-665149-168169-1-786x381.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-665149-168169-1-1443x700.png 1443w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-665149-168169-1-768x373.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-665149-168169-1-1536x745.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168170\" class=\"wp-caption-text\">Figure 1. Exemples de leurres pr\u00e9sent\u00e9s aux cibles.<\/figcaption><\/figure>\n<p>Le t\u00e9l\u00e9chargement puis l\u2019ouverture de l\u2019archive\u00a0RAR d\u00e9clenchent la cha\u00eene d\u2019\u00e9v\u00e9nements menant \u00e0 l\u2019infection. Celle-ci repose sur trois fichiers\u00a0:<\/p>\n<ul>\n<li>Un fichier binaire imitant un document sensible ou politique<\/li>\n<li>Un loader malveillant, ex\u00e9cut\u00e9 en arri\u00e8re-plan<\/li>\n<li>Un autre leurre au format\u00a0PDF\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">Document.pdf<\/span><\/li>\n<\/ul>\n<p>Lorsque la personne cibl\u00e9e ouvre le binaire pour consulter l\u2019article, celui-ci charge de mani\u00e8re d\u00e9tourn\u00e9e (via le side-loading) le premier loader malveillant (<span style=\"font-family: 'courier new', courier, monospace;\">netutils.dll<\/span>), qui ouvre et affiche le PDF leurre. La Figure\u00a02 illustre la cha\u00eene d\u2019infection initiale dans Cortex\u00a0XDR et les alertes d\u00e9clench\u00e9es par les ex\u00e9cutables Windows responsables du side-loading des DLL et de la persistance.<\/p>\n<figure id=\"attachment_168249\" aria-describedby=\"caption-attachment-168249\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168249 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/FR_Charts_2719_Wirte-Targets-Middle-Eastern-Diplomatic-Entities-1-786x335.png\" alt=\"Sch\u00e9ma Cortex XDR illustrant un processus d'infection par un logiciel malveillant en plusieurs \u00e9tapes. Les \u00e9tapes sont intitul\u00e9es \u00ab Loader \u00bb (chargeur) et \u00ab Stager executing final payload \u00bb (ex\u00e9cution de la charge utile finale par le chargeur), ainsi que \u00ab Stager and payload persistence \u00bb (persistance du chargeur et de la charge utile), accompagn\u00e9es d'une inscription en arabe non identifi\u00e9e. Chaque \u00e9tape est signal\u00e9e par un triangle d'avertissement.\" width=\"1000\" height=\"426\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/FR_Charts_2719_Wirte-Targets-Middle-Eastern-Diplomatic-Entities-1-786x335.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/FR_Charts_2719_Wirte-Targets-Middle-Eastern-Diplomatic-Entities-1-768x327.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/FR_Charts_2719_Wirte-Targets-Middle-Eastern-Diplomatic-Entities-1.png 939w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168249\" class=\"wp-caption-text\">Figure 2. Cha\u00eene d\u2019infection initiale et persistance d\u2019AshTag, telles qu\u2019observ\u00e9es dans Cortex XDR.<\/figcaption><\/figure>\n<h3><a id=\"post-168169-_heading=h.qu511r7wqexo\"><\/a>\u00c9volution de l\u2019architecture\u00a0CnC<\/h3>\n<p>La comparaison de cette campagne avec les pr\u00e9c\u00e9dentes r\u00e9v\u00e8le une modification de la convention de d\u00e9nomination des domaines CnC du groupe. Au lieu d\u2019h\u00e9berger ses serveurs de commande et contr\u00f4le sur ses propres domaines, le groupe enregistre d\u00e9sormais de nouveaux sous-domaines \u2013\u00a0de type API ou li\u00e9s \u00e0 l\u2019authentification\u00a0\u2013 rattach\u00e9s \u00e0 des domaines l\u00e9gitimes. Ce changement s\u2019inscrit dans une volont\u00e9 d\u2019am\u00e9liorer son OpSec et permet de fondre plus facilement son activit\u00e9 dans le trafic r\u00e9seau b\u00e9nin. Les domaines utilis\u00e9s reprennent souvent des th\u00e9matiques technologiques ou m\u00e9dicales, telles que <span style=\"font-family: 'courier new', courier, monospace;\">api.healthylifefeed[.]com<\/span>, <span style=\"font-family: 'courier new', courier, monospace;\">api.softmatictech[.]com<\/span> ou encore <span style=\"font-family: 'courier new', courier, monospace;\">auth.onlinefieldtech[.]com<\/span>.<\/p>\n<p>Nous avons \u00e9galement observ\u00e9 une s\u00e9paration nette entre les diff\u00e9rents serveurs, chacun \u00e9tant d\u00e9di\u00e9 \u00e0 un outil sp\u00e9cifique de la cha\u00eene d\u2019ex\u00e9cution. Les domaines pr\u00e9sentent des formats vari\u00e9s et sont h\u00e9berg\u00e9s sur plusieurs num\u00e9ros de syst\u00e8mes autonomes\u00a0(ASN). En raison du g\u00e9o-rep\u00e9rage de ces serveurs, les outils d\u2019analyse automatis\u00e9s ne parviennent pas \u00e0 ex\u00e9cuter l\u2019ensemble de la cha\u00eene et donc \u00e0 relier les diff\u00e9rentes \u00e9tapes.<\/p>\n<p>Dans cette campagne, le groupe a pris plusieurs mesures de pr\u00e9caution pour contourner la d\u00e9tection et l\u2019analyse. Par exemple, les payloads secondaires sont dissimul\u00e9s dans des balises\u00a0HTML au sein d\u2019une page a priori b\u00e9nigne. Le serveur CnC effectue \u00e9galement des v\u00e9rifications pr\u00e9liminaires sur le terminal de la victime afin de ne pas envoyer le payload dans une sandbox. Il contr\u00f4le notamment la g\u00e9olocalisation de la victime et inspecte des cha\u00eenes User-Agent pr\u00e9sentes dans le trafic et propres au malware.<\/p>\n<h2><a id=\"post-168169-_heading=h.3haq0abkokw8\"><\/a>Nouvelle suite de malwares AshTag et \u00e9volution de la campagne<\/h2>\n<p>La campagne AshTag marque une avanc\u00e9e significative dans l\u2019outillage traditionnel du groupe. Lors des campagnes pr\u00e9c\u00e9dentes, les acteurs ne livraient pas de payload complet et se contentaient de mettre fin au processus parent via une simple DLL .NET. Nous estimons que les campagnes observ\u00e9es dans la nature constituaient une phase de test dans le d\u00e9veloppement de la cha\u00eene d\u2019attaque. Mais dans la campagne actuelle, Ashen Lepus d\u00e9ploie une suite de malwares plus sophistiqu\u00e9e et pleinement fonctionnelle, que nous avons nomm\u00e9e \u00ab AshTag \u00bb. Unit 42 utilise le nom \u00ab Lepus \u00bb pour d\u00e9signer les groupes li\u00e9s aux territoires palestiniens. Nous avons attribu\u00e9 le pr\u00e9fixe \u00ab Ash \u00bb aux composants du malware pour \u00e9voquer ces ressources d\u2019attaque rudimentaires mais persistantes qui, couche apr\u00e8s couche, finissent par \u00e9touffer les d\u00e9fenses d\u2019un syst\u00e8me et permettre de <span style=\"font-weight: 400;\">d\u00e9ploye <\/span>l\u2019attaque compl\u00e8te.<\/p>\n<p>AshTag est un outil modulaire en .NET, toujours en cours de d\u00e9veloppement, qui offre un large \u00e9ventail de capacit\u00e9s\u00a0: exfiltration de fichiers, t\u00e9l\u00e9chargement de contenus, ou encore ex\u00e9cution en m\u00e9moire de modules compl\u00e9mentaires.<\/p>\n<p>La cha\u00eene d\u2019infection d\u2019AshTag est la suivante\u00a0:<\/p>\n<ul>\n<li>La victime cibl\u00e9e clique sur le fichier binaire, pensant ouvrir un document.<\/li>\n<li>Le binaire charge en arri\u00e8re-plan (via le side-loading) une DLL d\u00e9tourn\u00e9e\u00a0: le premier loader malveillant, que nous appelons \u00ab\u00a0AshenLoader\u00a0\u00bb.<\/li>\n<li>AshenLoader ouvre le leurre au format\u00a0PDF sur le poste de travail.<\/li>\n<li>En arri\u00e8re-plan, AshenLoader r\u00e9cup\u00e8re et ex\u00e9cute une autre DLL via le side-loading\u00a0: un stager que nous appelons \u00ab\u00a0AshenStager\u00a0\u00bb.<\/li>\n<li>AshenStager r\u00e9cup\u00e8re et ex\u00e9cute le payload AshTag.<\/li>\n<li>AshenStager \u00e9tablit \u00e9galement sa persistance via une t\u00e2che planifi\u00e9e ex\u00e9cut\u00e9e par<span style=\"font-family: 'courier new', courier, monospace;\"> svchost.exe.<\/span><\/li>\n<\/ul>\n<p>La Figure\u00a03 montre la cha\u00eene d\u2019attaque compl\u00e8te.<\/p>\n<figure id=\"attachment_168192\" aria-describedby=\"caption-attachment-168192\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168192 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-671447-168169-3.png\" alt=\"Organigramme d\u00e9taillant le fonctionnement de la suite de logiciels malveillants AshTag, commen\u00e7ant par un leurre PDF trompeur li\u00e9 \u00e0 un e-mail, passant par plusieurs \u00e9tapes d'ex\u00e9cution et de chargement de fichiers, et aboutissant \u00e0 des t\u00e2ches telles que l'orchestration, l'injection de code shell et la collecte de fichiers pour assurer la persistance. \" width=\"1000\" height=\"1337\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-671447-168169-3.png 1870w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-671447-168169-3-329x440.png 329w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-671447-168169-3-524x700.png 524w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-671447-168169-3-768x1027.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-671447-168169-3-1149x1536.png 1149w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-671447-168169-3-1532x2048.png 1532w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168192\" class=\"wp-caption-text\">Figure 3. Cha\u00eene d\u2019infection compl\u00e8te du malware AshTag.<\/figcaption><\/figure>\n<h3><a id=\"post-168169-_heading=h.of10z29nu4d6\"><\/a>Flux d\u2019ex\u00e9cution du loader initial<\/h3>\n<p>Lors de son ex\u00e9cution, AshenLoader tente de collecter puis d\u2019envoyer des donn\u00e9es de reconnaissance initiales vers le serveur CnC de l\u2019attaquant. Le payload AshenStager est dissimul\u00e9 dans la page web du CnC, entre des balises\u00a0HTML personnalis\u00e9es &lt;<span style=\"font-family: 'courier new', courier, monospace;\">headerp<\/span>&gt;. Cette m\u00e9thode d\u2019int\u00e9gration a d\u00e9j\u00e0 \u00e9t\u00e9 <a href=\"https:\/\/www.own.security\/ressources\/blog\/wirte-analyse-campagne-cyber-own-cert\" target=\"_blank\" rel=\"noopener\">document\u00e9e<\/a> par le pass\u00e9. Outre ces similitudes, nous avons identifi\u00e9 de nouvelles fonctionnalit\u00e9s propres \u00e0 AshenLoader, d\u00e9taill\u00e9es \u00e0 l\u2019<a href=\"#post-168169-_heading=h.91uzk93skp4u\" target=\"_blank\" rel=\"noopener\">Annexe\u00a0B<\/a>.<\/p>\n<p>AshenLoader r\u00e9cup\u00e8re puis ex\u00e9cute un stager que nous appelons \u00ab\u00a0AshenStager\u00a0\u00bb. Dans les <a href=\"https:\/\/research.checkpoint.com\/2024\/hamas-affiliated-threat-actor-expands-to-disruptive-activity\/\" target=\"_blank\" rel=\"noopener\">campagnes pr\u00e9c\u00e9dentes<\/a>, ce stager portait le nom de Stager-X64, conform\u00e9ment \u00e0 la nomenclature interne des attaquants. Nous suivons d\u00e9sormais AshenStager en tant que composant de la suite AshTag. AshenStager est charg\u00e9 de mani\u00e8re d\u00e9tourn\u00e9e par un ex\u00e9cutable l\u00e9gitime associ\u00e9 \u00e0 une DLL personnalis\u00e9e et malveillante, nomm\u00e9e <span style=\"font-family: 'courier new', courier, monospace;\">wtsapi32.dll<\/span>.<\/p>\n<p>AshenStager est con\u00e7u pour envoyer une requ\u00eate\u00a0HTTP \u00e0 son serveur CnC, puis analyser la r\u00e9ponse\u00a0HTML afin d\u2019en extraire un payload chiffr\u00e9, dissimul\u00e9 dans des balises &lt;<span style=\"font-family: 'courier new', courier, monospace;\">article<\/span>&gt;. Une fois extrait, AshenStager le d\u00e9code, l\u2019interpr\u00e8te et l\u2019injecte en m\u00e9moire. Le payload final de cette cha\u00eene est une <span style=\"font-weight: 400;\">suite de malwares<\/span> orchestr\u00e9e par un outil que nous appelons \u00ab AshenOrchestrator \u00bb. La Figure 4 illustre le payload encod\u00e9 en Base64 de cet orchestrateur, int\u00e9gr\u00e9 dans le contenu HTML du serveur CnC.<\/p>\n<figure id=\"attachment_168203\" aria-describedby=\"caption-attachment-168203\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168203 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-675347-168169-4.png\" alt=\"Capture d'\u00e9cran montrant une section de code HTML mettant en \u00e9vidence une classe d'article avec un long identifiant alphanum\u00e9rique dans une section \u00ab services \u00bb. \" width=\"800\" height=\"173\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-675347-168169-4.png 870w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-675347-168169-4-786x170.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-675347-168169-4-768x166.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-168203\" class=\"wp-caption-text\">Figure 4 :<i><span style=\"font-weight: 400;\">\u00a0<\/span><\/i><span style=\"font-weight: 400;\">Payload encod\u00e9 en Base64 d\u2019AshenOrchestrator, int\u00e9gr\u00e9 dans des balises HTML &lt;<span style=\"font-family: 'courier new', courier, monospace;\">article<\/span>&gt;.<\/span><\/figcaption><\/figure>\n<h3><a id=\"post-168169-_heading=h.cllgf02cfulk\"><\/a>Suite malware AshTag<\/h3>\n<p>AshTag est une backdoor modulaire en .NET, con\u00e7ue pour assurer une persistance furtive et l\u2019ex\u00e9cution de commandes \u00e0 distance. Pour ne pas \u00e9veiller les soup\u00e7ons, AshTag se fait passer pour un utilitaire l\u00e9gitime nomm\u00e9 VisualServer. En r\u00e9alit\u00e9, cette backdoor est une <span style=\"font-weight: 400;\">suite de malwares <\/span>compl\u00e8te, qui s\u2019appuie sur AshenOrchestrator pour communiquer et ex\u00e9cuter d\u2019autres payloads directement en m\u00e9moire.<\/p>\n<p>Lorsque AshenStager r\u00e9cup\u00e8re le payload d\u2019AshenOrchestrator, il re\u00e7oit un fichier\u00a0JSON encod\u00e9 en Base64. Ce fichier contient \u00e0 la fois le payload et sa configuration, qui inclut divers param\u00e8tres, tels que des chemins d\u2019URL menant aux diff\u00e9rents modules, des cl\u00e9s de chiffrement et le domaine CnC. Elle comporte \u00e9galement des plages d\u2019attente al\u00e9atoires\u00a0(jitter) \u2013\u00a0mn et mx\u00a0\u2013 utilis\u00e9es pour \u00e9viter la d\u00e9tection du beaconing des communications\u00a0CnC. La Figure\u00a05 montre un exemple de cette configuration.<\/p>\n<figure id=\"attachment_168214\" aria-describedby=\"caption-attachment-168214\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168214 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-677649-168169-5.png\" alt=\"Capture d'\u00e9cran d'un extrait de code avec divers \u00e9l\u00e9ments identifi\u00e9s par des encadr\u00e9s rouges et des fl\u00e8ches. Ceux-ci comprennent le domaine C2, les param\u00e8tres de l'agent utilisateur, la gigue minimale et maximale, les chemins d'acc\u00e8s URL C2 avec des modules suppl\u00e9mentaires et, enfin, la cl\u00e9 XOR crypt\u00e9e. \" width=\"1000\" height=\"344\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-677649-168169-5.png 2048w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-677649-168169-5-786x271.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-677649-168169-5-1920x661.png 1920w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-677649-168169-5-768x264.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-677649-168169-5-1536x529.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168214\" class=\"wp-caption-text\">Figure 5. Configuration d\u00e9cod\u00e9e d\u2019AshenOrchestrator.<\/figcaption><\/figure>\n<p>Comme la plupart des outils employ\u00e9s dans cette campagne, AshenOrchestrator extrait son payload suivant \u00e0 partir de balises HTML int\u00e9gr\u00e9es. Toutefois, dans ce cas pr\u00e9cis, le payload est dissimul\u00e9 de mani\u00e8re encore plus subtile. Au lieu de s\u2019appuyer sur un nom de balise cod\u00e9 en dur, le stager recherche dans la page\u00a0HTML une balise mise en commentaire, qui contient le nom de balise pertinent. La Figure\u00a06 illustre ce m\u00e9canisme d\u2019int\u00e9gration du payload.<\/p>\n<figure id=\"attachment_168225\" aria-describedby=\"caption-attachment-168225\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168225 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-680828-168169-6.png\" alt=\"Collage de captures d'\u00e9cran affichant une page Web avec des \u00e9l\u00e9ments de codage, mettant en \u00e9vidence en rouge \u00ab charge utile crypt\u00e9e XOR \u00bb et \u00ab module Base64 + param\u00e8tres \u00bb. Les multiples panneaux affichent du code HTML et JSON.\" width=\"1000\" height=\"262\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-680828-168169-6.png 1534w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-680828-168169-6-786x206.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-680828-168169-6-768x201.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168225\" class=\"wp-caption-text\">Figure 6. Processus de d\u00e9codage des modules AshTag.<\/figcaption><\/figure>\n<p>AshenOrchestrator g\u00e9n\u00e8re une cl\u00e9 AES unique \u00e0 partir des param\u00e8tres <span style=\"font-family: 'courier new', courier, monospace;\">tg<\/span> et <span style=\"font-family: 'courier new', courier, monospace;\">au<\/span>, puis d\u00e9chiffre la cl\u00e9 XOR\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">xrk<\/span>. Cette cl\u00e9 XOR d\u00e9chiffr\u00e9e est ensuite utilis\u00e9e pour d\u00e9chiffrer la valeur HTML int\u00e9gr\u00e9e qui contient le payload. Celui-ci correspond \u00e0 un module sp\u00e9cifique, encapsul\u00e9 dans un autre fichier\u00a0JSON encod\u00e9 en Base64, lequel inclut des param\u00e8tres de configuration suppl\u00e9mentaires. Ces param\u00e8tres d\u00e9finissent notamment le nom de la m\u00e9thode de chargement du module (<span style=\"font-family: 'courier new', courier, monospace;\">mna<\/span>) et le nom de classe (<span style=\"font-family: 'courier new', courier, monospace;\">cn<\/span>). Le Tableau 2 r\u00e9pertorie les diff\u00e9rents noms de classe attendus par AshenOrchestrator, ainsi que leurs fonctionnalit\u00e9s pr\u00e9sum\u00e9es.<\/p>\n<table style=\"width: 94.9194%;\">\n<tbody>\n<tr>\n<td style=\"width: 42.1457%; text-align: center;\"><strong>Nom de classe (cn)<\/strong><\/td>\n<td style=\"width: 140.453%; text-align: center;\"><strong>Fonctions pr\u00e9sum\u00e9es<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 42.1457%;\"><span style=\"font-family: 'courier new', courier, monospace;\">PR1, PR2, PR3<\/span><\/td>\n<td style=\"width: 140.453%;\">Persistence<\/p>\n<p>Gestion des processus<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 42.1457%;\"><span style=\"font-family: 'courier new', courier, monospace;\">UN1, UN2, UN3<\/span><\/td>\n<td style=\"width: 140.453%;\">D\u00e9sinstallation<\/p>\n<p>Mise \u00e0 jour<\/p>\n<p>Suppression<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 42.1457%;\"><span style=\"font-family: 'courier new', courier, monospace;\">SCT<\/span><\/td>\n<td style=\"width: 140.453%;\">Capture d\u2019\u00e9cran<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 42.1457%;\"><span style=\"font-family: 'courier new', courier, monospace;\">FE<\/span><\/td>\n<td style=\"width: 140.453%;\">Explorateur de fichiers<\/p>\n<p>Gestion de fichiers<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 42.1457%;\"><span style=\"font-family: 'courier new', courier, monospace;\">SN<\/span><\/td>\n<td style=\"width: 140.453%;\">Collecte des empreintes syst\u00e8me (Fingerprinting)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau\u00a02. Les diff\u00e9rents modules\u00a0Ashen et leurs objectifs pr\u00e9sum\u00e9s.<\/span><\/p>\n<p>La valeur mna d\u00e9termine l\u2019action qu\u2019AshenOrchestrator ex\u00e9cute pour chaque module qu\u2019il r\u00e9cup\u00e8re. Quatre actions sont possibles\u00a0:<\/p>\n<ul>\n<li>T\u00e9l\u00e9verser du contenu suppl\u00e9mentaire<\/li>\n<li>T\u00e9l\u00e9charger le module sur le disque<\/li>\n<li>Ex\u00e9cuter le module en tant qu\u2019assemblages\u00a0.NET<\/li>\n<li>Injecter le module en m\u00e9moire<\/li>\n<\/ul>\n<p>L\u2019analyse de la m\u00e9thode d\u2019injection a r\u00e9v\u00e9l\u00e9 que son code n\u2019\u00e9tait en r\u00e9alit\u00e9 pas impl\u00e9ment\u00e9 et renvoyait simplement la valeur <span style=\"font-family: 'courier new', courier, monospace;\">false<\/span>, ce qui indique que certains volets de la <span style=\"font-weight: 400;\">suite de malwares<\/span> AshTag sont toujours en cours de d\u00e9veloppement.<\/p>\n<p>La r\u00e9cup\u00e9ration des diff\u00e9rents modules \u00e0 des fins d\u2019analyse s\u2019est r\u00e9v\u00e9l\u00e9e complexe, en partie parce qu\u2019Ashen\u00a0Lepus semble effectuer une rotation r\u00e9guli\u00e8re des modules dissimul\u00e9s dans les pages\u00a0web. Cela expliquerait pourquoi tous les modules ne sont pas accessibles simultan\u00e9ment. Nous avons \u00e9galement constat\u00e9 que diff\u00e9rentes cl\u00e9s de chiffrement permettent d\u2019acc\u00e9der \u00e0 diff\u00e9rents types de modules.<\/p>\n<p>Malgr\u00e9 ces difficult\u00e9s, nous avons pu r\u00e9cup\u00e9rer l\u2019un des modules charg\u00e9s de collecter les empreintes syst\u00e8me \u2013\u00a0d\u00e9sign\u00e9 en interne sous le nom de module\u00a0SN. Il s\u2019agit d\u2019un programme\u00a0.NET extr\u00eamement simple, qui ex\u00e9cute des requ\u00eates\u00a0WMI et renvoie aux attaquants un identifiant unique de la victime. La Figure\u00a07 pr\u00e9sente la fonction principale du module\u00a0SN.<\/p>\n<figure id=\"attachment_168236\" aria-describedby=\"caption-attachment-168236\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168236 lozad\"  data-src=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-683467-168169-7.png\" alt=\"Capture d'\u00e9cran d'un code informatique dans un \u00e9diteur de texte avec fond sombre et mise en \u00e9vidence de la syntaxe.\" width=\"1000\" height=\"497\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-683467-168169-7.png 1245w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-683467-168169-7-786x391.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-683467-168169-7-768x382.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168236\" class=\"wp-caption-text\">Figure 7 : Code du module d\u2019empreinte syst\u00e8me SN.<\/figcaption><\/figure>\n<p>Nos donn\u00e9es de t\u00e9l\u00e9m\u00e9trie ont permis d\u2019identifier les op\u00e9rations men\u00e9es par l\u2019acteur de la menace, montrant qu\u2019il recourait \u00e0 d\u2019autres modules pour pr\u00e9parer puis exfiltrer des fichiers.<\/p>\n<h3>Post-exploitation par Ashen Lepus<\/h3>\n<p>Apr\u00e8s l\u2019infection initiale automatis\u00e9e, l\u2019acteur de la menace a acc\u00e9d\u00e9 au syst\u00e8me compromis pour proc\u00e9der \u00e0 un vol de donn\u00e9es en interaction directe. Quelques jours apr\u00e8s l\u2019infection d\u2019origine, les attaquants ont charg\u00e9 un module personnalis\u00e9 via AshenOrchestrator et commenc\u00e9 \u00e0 regrouper des documents sp\u00e9cifiques dans le dossier C:\\Users\\Public.<\/p>\n<p>Notre analyse indique que ces documents ont \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9s directement depuis les comptes de messagerie de la victime, r\u00e9v\u00e9lant l\u2019objectif principal du groupe\u00a0: obtenir des documents cibl\u00e9s li\u00e9s \u00e0 des enjeux diplomatiques. Cette pratique s\u2019inscrit dans la continuit\u00e9 des observations pr\u00e9c\u00e9dentes sur la collecte de renseignements men\u00e9e par le groupe dans le cadre de conflits g\u00e9opolitiques r\u00e9gionaux.<\/p>\n<p>Pour exfiltrer les fichiers pr\u00e9par\u00e9s, Ashen\u00a0Lepus a t\u00e9l\u00e9charg\u00e9 l\u2019outil open source <a href=\"https:\/\/rclone.org\/\" target=\"_blank\" rel=\"noopener\">Rclone<\/a> afin de transf\u00e9rer les donn\u00e9es vers un serveur contr\u00f4l\u00e9 par l\u2019attaquant. Il semble que ce soit la premi\u00e8re fois que ce groupe exploite Rclone pour l\u2019exfiltration de donn\u00e9es. En proc\u00e9dant ainsi, Ashen\u00a0Lepus rejoint un nombre croissant d\u2019acteurs qui exploitent des outils l\u00e9gitimes de transfert de fichiers pour dissimuler leurs activit\u00e9s malveillantes au sein d\u2019un trafic r\u00e9seau b\u00e9nin \u2013\u00a0et ainsi \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n<h2><a id=\"post-168169-_heading=h.n0j1knh2mrz0\"><\/a>Conclusion<\/h2>\n<p>Ashen Lepus reste un acteur d\u2019espionnage tenace, clairement d\u00e9termin\u00e9 \u00e0 maintenir ses op\u00e9rations tout au long du conflit r\u00e9gional \u2013 contrairement \u00e0 d\u2019autres groupes affili\u00e9s dont l\u2019activit\u00e9 a nettement diminu\u00e9. Les actions men\u00e9es par cet acteur de la menace au cours des deux derni\u00e8res ann\u00e9es montrent, une fois encore, son engagement durable en faveur d\u2019une collecte de <span style=\"font-weight: 400;\">renseignements<\/span> continue.<\/p>\n<p>Au cours de cette campagne, Ashen Lepus a commenc\u00e9 \u00e0 d\u00e9ployer AshTag, sa nouvelle <span style=\"font-weight: 400;\">suite de malwares<\/span>. Il s\u2019agit d\u2019une suite modulaire d\u00e9velopp\u00e9e en .NET, capable d\u2019exfiltrer des donn\u00e9es, d\u2019ex\u00e9cuter des commandes et de lancer des payloads directement en m\u00e9moire.<\/p>\n<p>Si les TTP du groupe ne se distinguent pas par une grande sophistication, cette campagne marque une \u00e9volution notable dans son approche. Nous avons observ\u00e9 un effort clair pour renforcer son OpSec, notamment en am\u00e9liorant le chiffrement des payloads, en migrant son infrastructure vers des sous-domaines \u00e0 l\u2019apparence l\u00e9gitime et en privil\u00e9giant l\u2019ex\u00e9cution en m\u00e9moire. Cette m\u00e9thode \u00e0 faible co\u00fbt et \u00e0 fort impact permet aux acteurs de la menace d\u2019\u00e9chapper efficacement aux d\u00e9fenses statiques et de compliquer l\u2019analyse.<\/p>\n<p>La victimologie d\u2019Ashen\u00a0Lepus s\u2019\u00e9tend d\u00e9sormais au-del\u00e0 de ses cibles g\u00e9ographiques habituelles. Associ\u00e9e \u00e0 l\u2019apparition de nouveaux th\u00e8mes de leurres, cette tendance indique une extension de son p\u00e9rim\u00e8tre op\u00e9rationnel. Nous estimons qu\u2019Ashen\u00a0Lepus continuera d\u2019adapter son outillage et son ciblage afin de poursuivre ses objectifs de renseignement g\u00e9opolitique. Les organisations du Moyen-Orient \u2013\u00a0en particulier celles des secteurs gouvernemental et diplomatique\u00a0\u2013 doivent rester vigilantes face \u00e0 cette menace en constante \u00e9volution.<\/p>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces d\u00e9crites dans cet article gr\u00e2ce aux produits et services suivants\u00a0:<\/p>\n<ul>\n<li>Les mod\u00e8les de Machine\u00a0Learning<a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\"> d\u2019Advanced\u00a0WildFire<\/a> ont \u00e9t\u00e9 mis \u00e0 jour sur la base des indicateurs de compromission\u00a0(IoC) identifi\u00e9s dans cette recherche.<\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0URL\u00a0Filtering<\/a> et<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced\u00a0DNS\u00a0Security<\/a> permettent d\u2019identifier les domaines et URL associ\u00e9s \u00e0 cette activit\u00e9 comme \u00e9tant malveillants.<\/li>\n<li><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0XDR<\/a> et <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\">XSIAM<\/a>\n<ul>\n<li>Cortex\u00a0XDR permet de pr\u00e9venir les menaces d\u00e9crites dans cet article gr\u00e2ce \u00e0 son <a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/r\/Cortex-XDR\/Cortex-XDR-4.x-Documentation\/Malware-protection\" target=\"_blank\" rel=\"noopener\">moteur de pr\u00e9vention des malwares<\/a>. Cette approche combine plusieurs couches de protection, dont <a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0WildFire<\/a>, la protection comportementale contre les menaces et le module Local\u00a0Analysis afin de bloquer les malwares \u2013\u00a0connus ou non\u00a0\u2013 avant qu\u2019ils ne puissent impacter les terminaux.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez <a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">l\u2019\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a> ou composez l\u2019un des num\u00e9ros suivants\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni\u00a0: +44\u00a020\u00a03743\u00a03660<\/li>\n<li>Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n<li>Asie\u00a0: +65.6983.8730<\/li>\n<li>Japon\u00a0: +81\u00a050\u00a01790\u00a00200<\/li>\n<li>Australie\u00a0: +61.2.4062.7950<\/li>\n<li>Inde\u00a0: 000 800 050 45107<\/li>\n<\/ul>\n<p>Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces conclusions avec les autres membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA s\u2019appuient sur ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et perturber de mani\u00e8re coordonn\u00e9e les activit\u00e9s des cybercriminels. Cliquez ici pour en savoir plus sur la <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-168169-_heading=h.he1at4r5d4ea\"><\/a>Indicateurs de compromission<\/h2>\n<p><strong>Hachages\u00a0SHA256 des \u00e9chantillons de malware<\/strong><\/p>\n<p><strong>Archives\u00a0RAR<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">3502c9e4896802f069ef9dcdba2a7476e1208ece3cd5ced9f1c4fd32d4d0d768<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">1f3bd755de24e00af2dba61f938637d1cc0fbfd6166dba014e665033ad4445c0<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">4e1f7b48249dd5bf3a857d5d017f0b88c0372749fa156f5456056767c5548345<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">3d445c25752f86c65e03d4ebed6d563d48a22e424ba855001ad2db2290bf564c<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">7e5769cd8128033fc933fbf3346fe2eb9c8e9fc6aa683546e9573e7aa01a8b6b<\/span><\/li>\n<\/ul>\n<p><strong>Variante AshenLoader n\u00b01<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">f554c43707f5d87625a3834116a2d22f551b1d9a5aff1e446d24893975c431bc - dwampi.dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a17858f40ff506d59b5ee1ba2579da1685345206f2c7d78cb2c9c578a0c4402b - dwampi.dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ebe3b6977f66be30a22c2aff9b50fec8529dfa46415ea489bd7961552868f6b5 - dwampi.dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">8870bd358d605a5685a5f9f7785b5fee5aebdcb20e4e62153623f764d7366a3c - dwampi.dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">2d71d7e6ffecab8eefa2d6a885bcefe639fca988bdcac99e9b057e61698a1fd6 - dwampi.dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">8c44fa9bf68341c61ccaca0a3723945543e2a04d9db712ae50861e3fa6d9cc98 - wtsapi32.dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">f380bd95156fbfb93537f35941278778819df1629cb4c5a4e09fe17f6293b7b7 - wtsapi32.dll<\/span><\/li>\n<\/ul>\n<p><strong>Variante AshenLoader n\u00b02<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">f9816bc81de2e8639482c877a8defcaed9b15ffdce12beaef1cff3fea95999d4 - srvcli.dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e71a292eafe0ca202f646af7027c17faaa969177818caf08569bd77838e93064 - srvcli.dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">739a5199add1d970ba22d69cc10b4c3a13b72136be6d45212429e8f0969af3dc - netutils.dll<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b00491dc178a3d4f320951bccb17eb85bfef23e718b4b94eb597c90b5b6e0ba2 - netutils.dll<\/span><\/li>\n<\/ul>\n<p><strong>AshenStager<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">6bd3d05aef89cd03d6b49b20716775fe92f0cf8a3c2747094404ef98f96e9376 - wtsapi32.dll<\/span><\/li>\n<\/ul>\n<p><strong>AshenOrchestrator<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">30490ba95c42cefcca1d0328ea740e61c26eaf606a98f68d26c4a519ce918c99<\/span><\/li>\n<\/ul>\n<p><strong>Module AshTag d\u00e9sign\u00e9 sous le nom \u00ab\u00a0SN\u00a0\u00bb<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">66ab29d2d62548faeaeadaad9dd62818163175872703fda328bb1b4894f5e69e<\/span><\/li>\n<\/ul>\n<p><strong>Cl\u00e9s AES et nonce<\/strong><\/p>\n<p><strong>Variante AshenLoader n\u00b01<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Cl\u00e9 \u2013 {9a 20 51 98 4a 2b b1 76 ef 98 87 e3 be 87 f9 ca 44 ba 8c 19 a8 ef ba 55 62 98 e1 2a 39 21 ea 8b}<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Nonce \u2013 {44 ba 8c 19 a8 ef ba 55 62 98 e1 2a 39 21 ea 8b}<\/span><\/li>\n<\/ul>\n<p><strong>Variante AshenLoader n\u00b02<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Cl\u00e9 \u2013 {60 3d eb 10 15 ca 71 be 2b 73 ae f0 85 7d 77 81 1f 35 2c 07 3b 61 08 d7 2d 98 10 a3 09 14 df f4} (cl\u00e9 g\u00e9n\u00e9rique par d\u00e9faut)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Nonce \u2013 {f0 f1 f2 f3 f4 f5 f6 f7 f8 f9 fa fb fc fd fe ff} (nonce g\u00e9n\u00e9rique par d\u00e9faut)<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Cl\u00e9 XOR d\u2019AshenStager \u2013 msasn1.dll<\/span><\/li>\n<\/ul>\n<p><strong>Domaines CnC<\/strong><\/p>\n<p><strong>Backdoor<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">forum.techtg[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">forum.technoforts[.]com<\/span><\/li>\n<\/ul>\n<p><strong>Serveur d\u2019exfiltration<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">api.technology-system[.]com<\/span><\/li>\n<\/ul>\n<p><strong>Variante des loaders n\u00b01<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">api.healthylifefeed[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">api.softmatictech[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">apiv2.onlinefieldtech[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">auth.onlinefieldtech[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">status.techupinfo[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">api.medicinefinders[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">account.techupinfo[.]com<\/span><\/li>\n<\/ul>\n<p><strong>Variante des loaders n\u00b02<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">api.systemsync[.]info<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">api.widetechno[.]info<\/span><\/li>\n<\/ul>\n<p><strong>Noms des t\u00e2ches planifi\u00e9es<\/strong><\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Windows\\System32\\Tasks\\Windows\\WindowsDefenderUpdate\\Windows Defender Updater<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Windows\\System32\\Tasks\\Windows\\WindowsServicesUpdate\\Windows Services Updater<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">C:\\Windows\\System32\\Tasks\\Automatic Windows Update<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-168169-_heading=h.wfws1zxii7hh\"><\/a>Annexe\u00a0A\u00a0: Attribution<\/h2>\n<p>Notre analyse s\u2019appuie sur le <a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/unit-42-attribution-framework\/\" target=\"_blank\" rel=\"noopener\">cadre d\u2019attribution d\u2019Unit\u00a042<\/a>, qui fournit une m\u00e9thodologie syst\u00e9matique et fond\u00e9e sur des preuves pour relier les activit\u00e9s malveillantes observ\u00e9es \u00e0 des groupes de menace sp\u00e9cifiques. Cette approche d\u00e9passe les \u00e9valuations subjectives en permettant d\u2019examiner de mani\u00e8re rigoureuse plusieurs dimensions des donn\u00e9es, notamment les TTP, l\u2019outillage, l\u2019OpSec, l\u2019infrastructure r\u00e9seau et la victimologie.<\/p>\n<h3><a id=\"post-168169-_heading=h.n2o0o4ej9h02\"><\/a><strong>Les tactiques, techniques et proc\u00e9dures (TTP)<\/strong><\/h3>\n<p>Cette campagne pr\u00e9sente un chevauchement significatif avec le modus operandi d\u00e9j\u00e0 \u00e9tabli d\u2019Ashen\u00a0Lepus. Le groupe \u00e9labore syst\u00e9matiquement des leurres r\u00e9dig\u00e9s en arabe portant sur l\u2019\u00e9volution de la situation politique et militaire au Moyen-Orient, avec un accent particulier sur les territoires palestiniens.<\/p>\n<p>Bien que les informations publics sur l\u2019activit\u00e9 post-compromission du groupe restent limit\u00e9es, les activit\u00e9s d\u2019espionnage directes constat\u00e9es dans le cadre de incident (en particulier le vol cibl\u00e9 de documents diplomatiques) correspondent aux centres d\u2019int\u00e9r\u00eat du groupe en mati\u00e8re de collecte de renseignement, ainsi qu\u2019\u00e0 son niveau de sophistication.<\/p>\n<h3><a id=\"post-168169-_heading=h.bkuz9njntrsp\"><\/a><strong>Les recoupements d\u2019infrastructures<\/strong><\/h3>\n<p>Nous avons identifi\u00e9 des chevauchements d\u2019infrastructure \u00e9vidents avec les rapports historiques consacr\u00e9s au groupe. Plus pr\u00e9cis\u00e9ment, la structure d\u2019URL observ\u00e9e dans cette campagne correspond aux <a href=\"https:\/\/research.checkpoint.com\/2024\/hamas-affiliated-threat-actor-expands-to-disruptive-activity\/\" target=\"_blank\" rel=\"noopener\">conclusions publi\u00e9es par Check\u00a0Point<\/a>. Par exemple, l\u2019URL cit\u00e9e dans leur rapport reprend le m\u00eame sch\u00e9ma de d\u00e9nomination des sous-domaines et la m\u00eame structure de param\u00e8tres d\u2019URL que celle relev\u00e9e dans les versions pr\u00e9c\u00e9dentes du loader (api\/v1.0\/account?token=)\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxps:<strong>\/\/support-api<\/strong>.financecovers[.]com\/api\/v1<strong>.0\/account?token={encrypted_recon_data}<\/strong><\/span><\/li>\n<\/ul>\n<p>Une URL similaire a \u00e9galement \u00e9t\u00e9 document\u00e9e dans le <a href=\"https:\/\/www.own.security\/ressources\/blog\/wirte-analyse-campagne-cyber-own-cert\" target=\"_blank\" rel=\"noopener\">rapport<\/a> d\u2019OWN Security\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">https:\/\/cdn.techpointinfo.com\/<strong>api\/v1.0\/account?token=<\/strong>{encrypted_recon_data}<\/span><\/li>\n<\/ul>\n<p><strong>Artefacts li\u00e9s au malware<\/strong><\/p>\n<p>L\u2019analyse du loader r\u00e9v\u00e8le plusieurs fonctionnalit\u00e9s cl\u00e9s coh\u00e9rentes avec les campagnes pr\u00e9c\u00e9dentes attribu\u00e9es \u00e0 ce groupe, telles que <a href=\"https:\/\/research.checkpoint.com\/2024\/hamas-affiliated-threat-actor-expands-to-disruptive-activity\/\" target=\"_blank\" rel=\"noopener\">document\u00e9es<\/a> par Check\u00a0Point. Le loader continue notamment d\u2019int\u00e9grer les payloads des \u00e9tapes suivantes dans des balises\u00a0HTML au sein de pages apparemment b\u00e9nignes et utilise des leurres structur\u00e9s de mani\u00e8re similaire pour initier la cha\u00eene d\u2019infection. Le groupe r\u00e9utilise \u00e9galement les m\u00eames noms de fichiers pour ses payloads\u00a0: leur backdoor SharpStage en\u00a0.NET comme les versions ant\u00e9rieures de leur loader portaient le nom\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">wtsapi32.dll<\/span>.<\/p>\n<h2><a id=\"post-168169-_heading=h.91uzk93skp4u\"><\/a>Annexe\u00a0B\u00a0: D\u00e9veloppement des nouvelles versions du loader<\/h2>\n<p>AshenLoader est une \u00e9volution probable du loader\u00a0IronWind, <a href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/ta402-uses-complex-ironwind-infection-chains-target-middle-east-based-government\" target=\"_blank\" rel=\"noopener\">pr\u00e9c\u00e9demment utilis\u00e9<\/a> par le groupe. Tout au long de l\u2019ann\u00e9e\u00a02025, Ashen\u00a0Lepus a proc\u00e9d\u00e9 \u00e0 des ajustements r\u00e9guliers d\u2019AshenLoader, qui a globalement conserv\u00e9 les m\u00eames fonctionnalit\u00e9s. Outre sa capacit\u00e9 \u00e0 communiquer avec le serveur CnC pour t\u00e9l\u00e9charger et ex\u00e9cuter des payloads suppl\u00e9mentaires, les fonctionnalit\u00e9s suivantes ont \u00e9t\u00e9 mises \u00e0 jour\u00a0:<\/p>\n<ul>\n<li><strong>Algorithme de chiffrement\u00a0:<\/strong> les acteurs de la menace ont impl\u00e9ment\u00e9 un chiffrement AES-CTR-256 dans les versions du malware compil\u00e9es entre le d\u00e9but et la fin de l\u2019ann\u00e9e 2025, contrairement \u00e0 l\u2019algorithme\u00a0TEA mentionn\u00e9 dans les travaux pr\u00e9c\u00e9dents. Dans les \u00e9chantillons compil\u00e9s entre le milieu et la fin de 2025, ils ont modifi\u00e9 les valeurs de la cl\u00e9 de chiffrement et du compteur (nonce). Dans les deux variantes, le nonce et les cl\u00e9s\u00a0AES sont cod\u00e9s en dur dans les binaires.<\/li>\n<li><strong>Collecte d\u2019empreintes suppl\u00e9mentaires sur les terminaux infect\u00e9s\u00a0:<\/strong> les nouvelles variantes fournissent aux acteurs de la menace des informations plus d\u00e9taill\u00e9es sur le terminal infect\u00e9 que les versions pr\u00e9c\u00e9dentes (l\u2019\u00e9num\u00e9ration des fichiers pr\u00e9sents dans le r\u00e9pertoire ProgramFiles, par exemple).<\/li>\n<li><strong>Mises \u00e0 jour de l\u2019URI\u00a0: <\/strong>les variantes d\u00e9crites dans les recherches publiques pr\u00e9c\u00e9dentes utilisaient le param\u00e8tre\u00a0token, envoy\u00e9 lors de la requ\u00eate\u00a0GET initiale de beaconing. Les variantes du d\u00e9but de 2025 sont ensuite pass\u00e9es aux param\u00e8tres id= et q=. Le sch\u00e9ma a de nouveau \u00e9volu\u00e9 fin\u00a02025, les acteurs adoptant cette fois le param\u00e8tre auth=. De plus, une partie de l\u2019URI est pass\u00e9e de \/v1\/ \u00e0 \/v2\/.<\/li>\n<\/ul>\n<p>Bien que ces ajustements ne modifient pas de mani\u00e8re significative la fonctionnalit\u00e9 du loader, ils constituent des moyens simples et efficaces d\u2019\u00e9chapper aux moteurs de d\u00e9tection statique.<\/p>\n<h2><a id=\"post-168169-_heading=h.dw6a88z9hsne\"><\/a>Pour aller plus loin<\/h2>\n<p><a href=\"https:\/\/research.checkpoint.com\/2024\/hamas-affiliated-threat-actor-expands-to-disruptive-activity\/\" target=\"_blank\" rel=\"noopener\">Hamas-affiliated Threat Actor WIRTE Continues its Middle East Operations and Moves to Disruptive Activity<\/a> - Check Point<\/p>\n<p><a href=\"https:\/\/www.cybereason.com\/hubfs\/dam\/collateral\/reports\/Molerats-in-the-Cloud-New-Malware-Arsenal-Abuses-Cloud-Platforms-in-Middle-East-Espionage-Campaign.pdf\" target=\"_blank\" rel=\"noopener\">Molerats in the Cloud<\/a> - Cybereason<\/p>\n<p><a href=\"https:\/\/apt.etda.or.th\/cgi-bin\/showcard.cgi?g=WIRTE%20Group&amp;n=1\" target=\"_blank\" rel=\"noopener\">WIRTE Threat Group Card<\/a> - Electronic Transactions Development Agency (ETDA)<\/p>\n<p><a href=\"https:\/\/www.own.security\/ressources\/blog\/wirte-analyse-campagne-cyber-own-cert\" target=\"_blank\" rel=\"noopener\">WIRTE\u00a0: \u00e0 la recherche du temps perdu<\/a> - OWN CERT<\/p>\n<p><a href=\"https:\/\/www.proofpoint.com\/us\/blog\/threat-insight\/ta402-uses-complex-ironwind-infection-chains-target-middle-east-based-government\" target=\"_blank\" rel=\"noopener\">TA402 Uses Complex IronWind Infection Chains to Target Middle East-Based Government Entities <\/a> - Proofpoint<\/p>\n","protected":false},"excerpt":{"rendered":"<p>L'acteur malveillant affili\u00e9 au Hamas, Ashen Lepus (alias WIRTE), m\u00e8ne des activit\u00e9s d'espionnage \u00e0 l'aide de sa nouvelle suite de logiciels malveillants AshTag contre des entit\u00e9s gouvernementales du Moyen-Orient<\/p>\n","protected":false},"author":23,"featured_media":167982,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8823,8787],"tags":[9829,9830,9831],"product_categories":[8956,8973,8979,8955,9041,9053,9064,9151],"coauthors":[1025],"class_list":["post-168169","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-actor-groups-fr","category-malware-fr","tag-ashen-lepus-fr","tag-espionage-fr","tag-wirte-fr","product_categories-advanced-dns-security-fr","product_categories-advanced-url-filtering-fr","product_categories-advanced-wildfire-fr","product_categories-cloud-delivered-security-services-fr","product_categories-cortex-fr","product_categories-cortex-xdr-fr","product_categories-cortex-xsiam-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Ashen\u00a0Lepus, un groupe affili\u00e9 au Hamas, cible des entit\u00e9s diplomatiques du Moyen-Orient avec AshTag, sa nouvelle suite de malwares<\/title>\n<meta name=\"description\" content=\"L&#039;acteur malveillant affili\u00e9 au Hamas, Ashen Lepus (alias WIRTE), m\u00e8ne des activit\u00e9s d&#039;espionnage \u00e0 l&#039;aide de sa nouvelle suite de logiciels malveillants AshTag contre des entit\u00e9s gouvernementales du Moyen-Orient\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Ashen\u00a0Lepus, un groupe affili\u00e9 au Hamas, cible des entit\u00e9s diplomatiques du Moyen-Orient avec AshTag, sa nouvelle suite de malwares\" \/>\n<meta property=\"og:description\" content=\"L&#039;acteur malveillant affili\u00e9 au Hamas, Ashen Lepus (alias WIRTE), m\u00e8ne des activit\u00e9s d&#039;espionnage \u00e0 l&#039;aide de sa nouvelle suite de logiciels malveillants AshTag contre des entit\u00e9s gouvernementales du Moyen-Orient\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-12-11T11:00:28+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-12-17T16:09:24+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/10-01-Ashen-Lepus-1920x900-1.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Ashen\u00a0Lepus, un groupe affili\u00e9 au Hamas, cible des entit\u00e9s diplomatiques du Moyen-Orient avec AshTag, sa nouvelle suite de malwares","description":"L'acteur malveillant affili\u00e9 au Hamas, Ashen Lepus (alias WIRTE), m\u00e8ne des activit\u00e9s d'espionnage \u00e0 l'aide de sa nouvelle suite de logiciels malveillants AshTag contre des entit\u00e9s gouvernementales du Moyen-Orient","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/","og_locale":"fr_FR","og_type":"article","og_title":"Ashen\u00a0Lepus, un groupe affili\u00e9 au Hamas, cible des entit\u00e9s diplomatiques du Moyen-Orient avec AshTag, sa nouvelle suite de malwares","og_description":"L'acteur malveillant affili\u00e9 au Hamas, Ashen Lepus (alias WIRTE), m\u00e8ne des activit\u00e9s d'espionnage \u00e0 l'aide de sa nouvelle suite de logiciels malveillants AshTag contre des entit\u00e9s gouvernementales du Moyen-Orient","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/","og_site_name":"Unit 42","article_published_time":"2025-12-11T11:00:28+00:00","article_modified_time":"2025-12-17T16:09:24+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/10-01-Ashen-Lepus-1920x900-1.png","type":"image\/png"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"Ashen\u00a0Lepus, un groupe affili\u00e9 au Hamas, cible des entit\u00e9s diplomatiques du Moyen-Orient avec AshTag, sa nouvelle suite de malwares","datePublished":"2025-12-11T11:00:28+00:00","dateModified":"2025-12-17T16:09:24+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/"},"wordCount":4716,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/10-01-Ashen-Lepus-1920x900-1.png","keywords":["Ashen Lepus","Espionage","WIRTE"],"articleSection":["Groupes cybercriminels","Malware"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/","name":"Ashen\u00a0Lepus, un groupe affili\u00e9 au Hamas, cible des entit\u00e9s diplomatiques du Moyen-Orient avec AshTag, sa nouvelle suite de malwares","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/10-01-Ashen-Lepus-1920x900-1.png","datePublished":"2025-12-11T11:00:28+00:00","dateModified":"2025-12-17T16:09:24+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"L'acteur malveillant affili\u00e9 au Hamas, Ashen Lepus (alias WIRTE), m\u00e8ne des activit\u00e9s d'espionnage \u00e0 l'aide de sa nouvelle suite de logiciels malveillants AshTag contre des entit\u00e9s gouvernementales du Moyen-Orient","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/10-01-Ashen-Lepus-1920x900-1.png","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/10-01-Ashen-Lepus-1920x900-1.png","width":1920,"height":900,"caption":"Pictorial representation of APT Ashen Lepus. The silhouette of a hare and the Lepus constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple shapes, representing space and distant planetary bodies."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Ashen\u00a0Lepus, un groupe affili\u00e9 au Hamas, cible des entit\u00e9s diplomatiques du Moyen-Orient avec AshTag, sa nouvelle suite de malwares"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Unit 42"},"url":"https:\/\/unit42.paloaltonetworks.com\/fr\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/168169","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=168169"}],"version-history":[{"count":6,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/168169\/revisions"}],"predecessor-version":[{"id":168774,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/168169\/revisions\/168774"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/167982"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=168169"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=168169"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=168169"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=168169"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=168169"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}