تورط قراصنة إلكترونيين  يعملون في إطار مجموعة تحمل إسم “Ashen Lepus”، يُشتبه في ارتباطها بحركة (حماس)، في تنفيذ حملات تجسس إلكتروني استهدفت مؤسسات حكومية وبعثات دبلوماسية في عدد من دول الشرق الأوسط، إضافة إلى دول أخرى من بينها المغرب ومصر والأردن،  وفق ما كشف تحليل جديد أجرته الوحدة الثانية والأربعون التابعة لشركة “بالو ألتو نتووركس” الأمريكية، المتخصصة في أمن الشبكات والأنظمة المعلوماتية.

ووفق التحليل ذاته، قادت هذه المجموعة حملة سيبرانية طويلة الأمد ضد الجهات المستهدفة، دون أن تُسجّل تراجعا في نشاطها خلال السنة الجارية، حتى بعد وقف إطلاق النار في غزة في أكتوبر الماضي، بل عملت على توسيع نطاق عملياتها ليشمل جهات تابعة للسلطة الفلسطينية، ومؤسسات في مصر والأردن، فضلا عن سلطنة عُمان والمملكة المغربية.

وأوضح التقرير أن مجموعة “Ashen Lepus” طورت برمجيات خبيثة خاصة بها تحمل اسم “AshTag”، كما عمدت إلى تحديث بنية التحكم والسيطرة (C2) بهدف تفادي الرصد والتحليل، والاندماج بشكل أفضل مع حركة الإنترنت المشروعة.

وأبرز المصدر أن الحملة الأخيرة أظهرت تطورا ملحوظا في مستوى أمان العمليات وفي التكتيكات والتقنيات والإجراءات التشغيلية المعتمدة، إذ انتقلت المجموعة من مستوى متوسط من التعقيد إلى اعتماد أساليب أكثر تقدما، تشمل تحسين تشفير الحمولات الخبيثة وتمويه البنية التحتية باستخدام نطاقات فرعية شرعية.

وسجلت الوحدة الثانية والأربعون أن المجموعة كانت في بداياتها تركز على استهداف كيانات قريبة جغرافيا، مثل السلطة الفلسطينية ومصر والأردن، غير أن الحملات الأخيرة كشفت عن توسع كبير في الرقعة الجغرافية للعمليات لتشمل دولا عربية أخرى.

ورغم هذا التوسع، يوضح التقرير أن موضوعات “الطُعم” المستخدمة في الهجمات ظلت متسقة إلى حد كبير، مع تركيز واضح على القضايا الجيوسياسية في الشرق الأوسط، خصوصا ما يتعلق بالأراضي الفلسطينية.

وأشار التحليل إلى أنه منذ سنة 2020 على الأقل، اعتمدت المجموعة سلسلة إصابة متعددة المراحل، تبدأ غالبا بملف PDF خداعي يبدو غير ضار، يقود الضحية إلى خدمة لمشاركة الملفات لتنزيل أرشيف RAR يحتوي على حمولة خبيثة. وعند فتح هذا الأرشيف، تبدأ سلسلة من العمليات التي تؤدي إلى الإصابة، من خلال ملفات تتظاهر بأنها مستندات سياسية أو حساسة، إلى جانب محمل خبيث يعمل في الخلفية، أو ملفات PDF إضافية ذات طابع تضليلي.