دبلوماسية الظل: قراصنة مرتبطون بحماس يطلقون مجموعة تجسس متطورة "AshTag" على السفارات في الشرق الأوسط

موجة جديدة من الهجمات السيبرانية تستغل مجموعة برمجيات خبيثة "AshTag" لاختراق الكيانات الدبلوماسية الناطقة بالعربية، كاشفة عن التطور المستمر لمجموعة القراصنة "Ashen Lepus".

في عالم التجسس السيبراني الغامض، تتكشف فصول جديدة مثيرة للقلق. فقد أطلقت مجموعة قرصنة مرتبطة بحماس تُعرف باسم "Ashen Lepus" - ويشار إليها بين مراقبي التهديدات باسم "WIRTE" - مجموعة برمجيات خبيثة متطورة تستهدف البعثات الدبلوماسية والوكالات الحكومية في جميع أنحاء الشرق الأوسط. سلاحهم الأحدث، المسمى "AshTag"، يمثل قفزة في كل من التخفي والطموح، حيث وجدت السفارات والوزارات من القاهرة إلى مسقط نفسها في مرمى النيران.

حقائق سريعة: حملة AshTag

مجموعة القراصنة: Ashen Lepus (المعروفة أيضاً باسم WIRTE)، مرتبطة بعمليات حماس منذ 2018.
الأهداف الرئيسية: الكيانات الدبلوماسية والحكومية الناطقة بالعربية في فلسطين، مصر، الأردن، عمان، والمغرب.
مجموعة البرمجيات الخبيثة: AshTag - باب خلفي معياري مبني على NET بقدرات متقدمة.
طريقة الهجوم: طُعم ذات طابع سياسي، حمولة مشفرة، وبنية تحتية للأوامر والسيطرة (C2) تبدو شرعية.
الهدف الرئيسي: سرقة وثائق دبلوماسية حساسة ومعلومات استخباراتية جيوسياسية.

داخل ترسانة AshTag

مجموعة AshTag ليست سلاحاً سيبرانياً عادياً. يقول الباحثون إن الهجوم يبدأ عندما يفتح الضحية ملفاً مفخخاً متنكراً في هيئة مستند عادي. يؤدي ذلك إلى سلسلة إصابة صامتة: أولاً، يقوم محمل مخصص يُدعى "AshenLoader" بعرض ملف PDF وهمي، ليشغل المستخدم بينما يقوم بتنزيل حمولات إضافية في الخلفية.

بعد ذلك يأتي "AshenStager"، الذي يتصل بخوادم أوامر وسيطرة (C2) مموهة بذكاء - مثل نطاق api.healthylifefeed[.]com - للحصول على التعليمات وبرمجيات خبيثة إضافية. يستخدم المهاجمون تقنيات متقدمة لتجنب التحليل في بيئات الاختبار، حيث يتحققون من موقع الضحية وبصماته الرقمية قبل المتابعة. يتم تهريب كل مكون، من وحدة التحكم "AshenOrchestrator" إلى وحدات التجسس المختلفة، داخل وسوم HTML بريئة ومشفرة للتخفي.

بمجرد التسلل، يمكن لـ AshTag التقاط الشاشات، وترسيخ نفسه في النظام، وتحديد بصمة الجهاز، وتنفيذ الأوامر - ممهداً الطريق لتدخل مباشر. يفضل المهاجمون استخدام أدوات شرعية مثل Rclone لنقل الملفات المسروقة - غالباً وثائق دبلوماسية سرية - إلى خوادمهم الخاصة. يتم تشفير جميع حركة البيانات باستخدام AES-256 ومفاتيح XOR مخصصة، مما يجعل الاكتشاف والتحليل تحدياً حتى للمحترفين.

ما يميز "Ashen Lepus" هو إصرارها. فعلى عكس جهات التهديد الأخرى التي خففت نشاطها بعد وقف إطلاق النار في غزة في أكتوبر 2025، ضاعفت هذه المجموعة جهودها، وطورت أدواتها وتوسعت إلى مناطق ناطقة بالعربية جديدة. لاحظ المحققون تداخلات واضحة مع حملات سابقة، من البنية التحتية إلى أنماط تسمية البرمجيات الخبيثة، مما يؤكد استمرارية التكتيكات والنوايا.

دق ناقوس الخطر في الشرق الأوسط

تعقيد AshTag - سلاسل إصابة متعددة الطبقات، نطاقات فرعية مشفرة، وحمولات مشفرة - يبرز اتجاهاً مقلقاً: التجسس السيبراني الإقليمي أصبح أكثر تقدماً وضراوة. يحث محللو الأمن الحكومات والسفارات في الشرق الأوسط على تعزيز دفاعاتهم، إذ لا تظهر "Ashen Lepus" أي بوادر تراجع. ساحة المعركة الرقمية من أجل المعلومات الجيوسياسية تزداد ازدحاماً - وخطوراً.