Ashen Lepus adalah sebutan bagi kelompok peretas atau Advanced Persistent Threat (APT) yang diduga kuat berafiliasi dengan Hamas. Fokus utama mereka adalah melakukan spionase siber dengan menyusup ke entitas pemerintah dan diplomatik, khususnya di wilayah seperti Oman, Maroko, dan Otoritas Palestina, menggunakan dokumen yang disisipi malware canggih.
Kami di komunitas keamanan siber sering kali melihat pola serangan yang berubah-ubah, namun laporan terbaru dari Unit 42 milik Palo Alto Networks memberikan gambaran yang cukup spesifik mengenai kelompok ini. Berdasarkan pengamatan mereka, Ashen Lepus ini bukan pemain baru. Mereka telah diprofilkan selama bertahun-tahun, dan aktivitas mereka menunjukkan penyelarasan yang konsisten dengan kepentingan strategis Hamas. Jadi, ini bukan sekadar peretasan acak, melainkan operasi yang terencana dengan target politis yang jelas.
Salah satu senjata andalan mereka belakangan ini adalah varian malware baru yang diberi nama AshTag. Malware ini memungkinkan mereka mencuri informasi dari entitas-entitas penting di Timur Tengah. Yang bikin khawatir, Ashen Lepus ini sepertinya terus meningkatkan kecanggihan mereka sejak tahun 2020. Mereka mengembangkan taktik peretasan yang lebih maju, termasuk melakukan obfuscation atau pengaburan infrastruktur serta penggunaan alat-alat baru lainnya untuk menghindari deteksi. Rasanya, mereka ini nggak main-main dalam menyembunyikan jejak digitalnya.
Modus operandinya cukup “klasik” tapi efektif. Malware AshTag biasanya disisipkan ke dalam dokumen yang terlihat sah atau legit. Temanya sering kali berkaitan dengan keterlibatan Turki dengan entitas Palestina. Menariknya, disaat aktivitas ancaman lain yang berafiliasi dengan Hamas menurun selama konflik Israel-Hamas, Ashen Lepus justru tetap aktif secara persisten. Bahkan, mereka terdeteksi masih beroperasi setelah gencatan senjata Oktober 2025. Kayaknya, dedikasi mereka untuk terus mengumpulkan intelijen sebegitunya kuat sampai konflik fisik pun nggak menghentikan operasi siber mereka.
Secara teknis, mekanisme serangan mereka bisa dijabarkan kuranglebihnya seperti ini:
- Pengumpan (Decoy): Serangan dimulai dengan file PDF yang terinfeksi. Dokumen ini berfungsi sebagai umpan dengan judul-judul yang memancing rasa ingin tahu target, seperti kemitraan antara Maroko dan Turki, inisiatif pertahanan Turki, atau aktivitas Hamas di Suriah.
- Eksekusi: PDF tersebut akan memandu target untuk mengunduh arsip RAR. Nah, di dalam arsip inilah terdapat payload berbahaya.
- Instalasi Malware: Setelah dieksekusi, malware AshTag memungkinkan peretas untuk mengekstrak file, mengunduh konten tambahan ke perangkat korban, dan mengambil tindakan lebih lanjut.
- Aksi Hands-on: Dalam beberapa kasus, Unit 42 menemukan bahwa setelah akses didapatkan, ada aktivitas “hands-on-keyboard”. Artinya, ada manusia di balik layar yang secara manual mencuri data, bahkan mengunduh dokumen langsung dari akun email korban dengan fokus pada dokumen terkait diplomasi.
Pergeseran fokus mereka ke dokumen yang membahas hubungan Turki dengan entitas politik Palestina sepertinya menandakan bahwa entitas Turki mungkin menjadi area minat operasional baru bagi mereka. Selain itu, kelompok ini juga telah melakukan beberapa perubahan untuk mengadopsi keamanan operasional yang lebih baik. Taktik mereka dibuat sedemikian rupa agar aktivitas jahat mereka bisa berbaur dengan aktivitas jaringan yang jinak atau benign. Begitunya cara mereka bekerja, membuat deteksi menjadi semakin menantang bagi kami para defender.
Perlu kalian ketahui juga, perusahaan keamanan siber lainnya pernah melacak aktivitas kelompok ini dengan nama “WIRTE” dan mengaitkannya dengan kelompok yang lebih besar seperti Gaza Cybergang dan Molerats. Sebelumnya, peretas yang berafiliasi dengan Hamas juga pernah dikaitkan dengan jenis malware bernama SysJoker yang menargetkan institusi pendidikan di Israel. Jadi, ekosistem ancaman ini cukup luas dan saling terhubung.
Berdasarkan pengamatan kami terhadap laporan tersebut, Ashen Lepus menunjukkan niat yang jelas untuk melanjutkan operasi spionase mereka tanpa henti. Berbeda dengan kelompok ancaman terafiliasi lainnya yang aktivitasnya menurun signifikan, komitmen mereka terhadap pengumpulan intelijen konstan selama dua tahun terakhir ini patut diwaspadai. Rekan-rekanita, penting bagi kita untuk memahami bahwa ancaman siber yang bermuatan politis seperti ini sering kali menggunakan teknik social engineering yang sangat rapi. Jika kalian bekerja di sektor pemerintahan atau yang memiliki akses ke data sensitif, jangan sembarangan membuka dokumen, terutama yang topiknya terlalu “menarik” untuk dilewatkan. Terima kasih sudah menyimak ulasan ini, semoga wawasan ini bisa meningkatkan kewaspadaan kita semua.