פושעי סייבר המזוהים עם חמאס מבצעים ריגול סייבר ברחבי המזרח התיכון. קבוצת Wirte מרגלת אחר גופי ממשל אזוריים וישויות דיפלומטיות מאז 2018. לאחרונה, היא מרחיבה את תחומי העניין שלה למדינות פחות קשורות ישירות לסכסוך הישראלי-פלסטיני, כמו עומאן ומרוקו. כדי להתאים את היקפה המתרחב פיתחה Wirte חבילת נוזקות חדשה בעלת מגוון תכונות שימושיות להתחמקות מתוכנות אבטחת סייבר. "כשהקבוצה התחילה לראשונה, הם השתמשו בכלים פשוטים מאוד – לא נראה היה שלאנשים שמאחורי הקבוצה היה הרבה ידע טכני", אומרים חוקרי יחידה 42, שביקשו להישאר בעילום שם עבור מאמר זה והוסיפו: "עם זאת, במהלך השנים ראינו את הקבוצה הזו מפתחת כלים וטכניקות משלה. כעת אנו עדים לאבולוציה ושיפור ביכולות שלה."
קורבנות Wirte מקבלים הודעות דוא"ל דיוג הכוללות קבצי PDF הקשורים לסכסוך הישראלי-פלסטיני. כאשר הם עוקבים אחר קישור בקובץ ה- PDF, הם מגיעים לשירות שיתוף קבצים בו ממתין להם קובץ RAR להורדה. אם יורידו את הקובץ, הם יפעילו במחשב שלהם מתקפת טעינה צדדית של ספריית קישורים דינמית (DLL) ברקע. לאחר מכן הם יראו את המסמך שחיפשו, בעוד שרשרת ההדבקה של Wirte מתחילה בשקט. בסופו של דבר, יבצעו ההאקרים פעילות ידנית על מקלדת הקורבן במטרה לגנוב מסמכים בעלי משמעות דיפלומטית ופוליטית.
Wirte בולטת באיומים מתמשכים מתקדמים (APTs) אחרים הקשורים לחמאס. הסיבה הבולטת ביותר היא התנגדותה לכל מאמצי המלחמה הישראליים בעזה. רוב הקבוצות הקשורות לחמאס השתתקו במהלך המלחמה. אבל אפילו כאשר הפציץ צה"ל ברצועת עזה, הפסיק את החשמל שלה ואף הפציץ האקרים המזוהים עם חמאס, נראה כי Wirte המשיכה ללא הפוגה. למרות שאינם בטוחים בכך, אומרים חוקרי יחידה 42 כי הפעילות המתמשכת של Wirte לאורך הסכסוך מרמזת על כך שהם פועלים מחוץ לעזה וייתכן שהם פועלים מהגדה המערבית או ממדינות אחרות.
העובדה ש- Wirte נראית צעד אחד מחוץ לסכסוך בעזה עשויה גם לסייע בהסבר מדוע, בהשוואה לארגוני חמאס אחרים, מכוונת Wirte מתקפות סייבר למגוון ממשלות רחב במזרח התיכון. לרוב, היא עדיין מתמקדת במטרות הקשורות ביותר לסכסוך הישראלי-פלסטיני, כמו מצרים, ירדן והרשות הפלסטינית עצמה בגדה המערבית. הפעילות האחרונה של Wirte עדיין קשורה באופן מהותי לעניינים פלסטיניים. הפיתיון של ההנדסה החברתית שלה מתייחס תכופות לחמאס עצמו ולדרכים שבהן מעורבות ממשלות אזוריות כמו טורקיה בסכסוך. אך החוקרים מדווחים כי: "ראינו עשרות פיתיונות ייחודיים הפרוסים ברחבי המזרח התיכון, דבר המצביע על מתקפה מתמשכת ורחבת היקף." כאן, ניתן להבין את המונח "רחב היקף" הן במובן המילולי והן במובן המטאפורי. עומאן וטורקיה רחוקות גיאוגרפית מישראל, בשני כיוונים, בעודן נחשבות למזרח תיכוניות (רבאט קרובה יותר לאוסלו מאשר לירושלים). בעוד שנשיא טורקיה מעורב בסכסוך הפלסטיני בשנים האחרונות, שתי המדינות האחרות שמרו על מרחק מסוים.
"התרחבות Wirte מעבר ליעדים הגיאוגרפיים המסורתיים שלה, יחד עם נושאי פיתוי חדשים, מצביעים על הרחבת היקף מתקפות הסייבר שלה", כתבה יחידה 42 בדו"ח שלה והדגישה: "ארגונים במזרח התיכון ובמיוחד במגזר הממשלתי והדיפלומטי, צריכים לגלות עירנות באשר לאיום מתפתח זה."
