Diplomatie de l’ombre : des hackers liés au Hamas déploient la suite d’espionnage sophistiquée AshTag contre les ambassades du Moyen-Orient

Dans le monde obscur du cyber-espionnage, un nouveau chapitre glaçant est en train de s’écrire. Un collectif de hackers affilié au Hamas, Ashen Lepus - connu des analystes de la menace sous le nom de WIRTE - a lancé une suite de logiciels malveillants sophistiqués visant des postes diplomatiques et des agences gouvernementales à travers le Moyen-Orient. Leur dernière arme, baptisée AshTag, marque un bond en avant en matière de furtivité et d’ambition, alors que des ambassades et ministères du Caire à Mascate se retrouvent dans leur ligne de mire.

Au cœur de l’arsenal AshTag

La suite AshTag n’est pas une cyberarme ordinaire. Selon les chercheurs, l’attaque commence lorsqu’une victime ouvre un fichier piégé déguisé en document anodin. Cela déclenche une chaîne d’infection silencieuse : d’abord, un chargeur personnalisé nommé AshenLoader affiche un PDF leurre, distrayant l’utilisateur pendant qu’il télécharge d’autres charges utiles en arrière-plan.

Vient ensuite AshenStager, qui se connecte à des serveurs C2 habilement camouflés - tels que des domaines comme api.healthylifefeed[.]com - pour récupérer des instructions et des logiciels malveillants supplémentaires. Les attaquants utilisent des techniques avancées d’évasion de sandbox, vérifiant la localisation et l’empreinte numérique de la victime avant de poursuivre. Chaque composant, du contrôleur AshenOrchestrator aux différents modules d’espionnage, est dissimulé dans des balises HTML anodines et encodé pour plus de discrétion.

Une fois infiltré, AshTag peut capturer des écrans, établir une persistance, relever l’empreinte du système et exécuter des commandes - ouvrant la voie à une intrusion manuelle. Les attaquants privilégient des outils légitimes comme Rclone pour exfiltrer les fichiers volés - souvent des documents diplomatiques classifiés - vers leurs propres serveurs. Tout le trafic est chiffré avec AES-256 et des clés XOR personnalisées, rendant la détection et l’analyse difficiles même pour les défenseurs chevronnés.

Ce qui distingue Ashen Lepus, c’est sa persistance. Contrairement à d’autres acteurs de la menace qui ont ralenti après le cessez-le-feu de Gaza en octobre 2025, ce groupe a redoublé d’efforts, perfectionnant ses outils et s’étendant vers de nouveaux territoires arabophones. Les enquêteurs ont relevé des recoupements évidents avec des campagnes passées, de l’infrastructure aux conventions de nommage des malwares, confirmant la continuité des tactiques et des intentions.

L’alerte monte au Moyen-Orient

La sophistication d’AshTag - infections en couches, sous-domaines obscurcis et charges utiles chiffrées - met en lumière une tendance inquiétante : le cyber-espionnage régional devient de plus en plus avancé et implacable. Les analystes en sécurité exhortent les gouvernements et ambassades du Moyen-Orient à renforcer leurs défenses, car Ashen Lepus ne montre aucun signe de repli. Le champ de bataille numérique pour le renseignement géopolitique ne cesse de se densifier - et de devenir plus périlleux.