إذا كان هناك فاعل تهديد واحد قد حدّد مشهد الربع الأول من 2026، فهو Handala. فمن حادثة Stryker عالية التأثير إلى العدد المتزايد من الاختراقات المزعومة في أنحاء الشرق الأوسط، يُظهر هذا الفاعل بوضوح زخماً عملياتياً مستداماً عبر المناطق والأحداث. في منشور اليوم، نلقي نظرة معمقة على خارطة الطريق المتوقعة لعمليات Handala المقبلة.

كما يتتبع منشور اليوم أيضاً انتقال Handala من عمليات تتمحور حول التعطيل إلى حرب تتمحور حول الإدراك، حيث يصبح التأثير النفسي الهدف المركزي، ويغدو الاختراق التقني آلية التنفيذ.

هذا المنشور هو امتداد لعملنا البحثي الحصري حول Handala. يمكنك الوصول إلى المنشورات السابقة هنا،هنا و هنا.

ولا تنسَ أيضاً الاطلاع على منشورنا التحقيقي الشامل حول الحادثة الأمنية التشغيلية في بنية سان ماركو للتحكم في الفيضانات في البندقية.  

النقاط الرئيسية

·      ينتقل Handala من تسريب البيانات إلى التعطيل باستخدام الأدوات الأصلية

·      يتوسع الاستهداف عبر قطاعات اقتصادية وبنى تحتية في الشرق الأوسط

·      اعتماد متزايد على اختراق الهوية وطبقات التحكم السحابية

·      مؤشرات مبكرة على عمليات نفسية مدعومة بالذكاء الاصطناعي

·      يجب أن يتحول التركيز الدفاعي من كشف البرمجيات الخبيثة إلى مراقبة الهوية والإدارة

التحول الجيوسياسي

بينما ركزت عمليات Handala في أوائل 2026 في معظمها على التموضع المسبق داخل شبكات الشركات المرتبطة بالولايات المتحدة وإسرائيل (ولا سيما حادثة المسح الخاصة بـ Stryker في قطاع التقنية الطبية)، فإن هجماته في أبريل تشير إلى تحول واضح نحو استهداف جهات مقرها في الشرق الأوسط.

• ينتقل Handala من استهداف الكيانات المعتادة لديه إلى استهداف الجيران الإقليميين.

• التخريب الاقتصادي: من خلال استهداف جهات البنية التحتية الحرجة الإقليمية الغنية بالبيانات، فهو لا يكتفي بسرقة البيانات؛ بل يهدد الاستقرار القانوني والاقتصادي لمراكز الخليج

• إلى حدّ ما، لا يزال Handala في وضعية حرب نشطة. إن وقف إطلاق النار المستمر لا يحمل أي أهمية لهذا الفاعل التهديدي. ومع التغييرات الإدارية الأخيرة في إيران، حظي Handala بمزيد من الاهتمام والاستقلالية، وهذا التغيير يظهر بوضوح في أفعال المجموعة خلال الأسبوعين الماضيين

• بينما تواصل المجموعة حملات التموضع المسبق في أنحاء الولايات المتحدة وإسرائيل، كثف Handala أنشطته في الشرق الأوسط. وتشمل الأهداف هذه المرة البنية التحتية الحرجة وشركات أمريكية تعمل في المنطقة.    

التطور التقني والتكتيكي: التعطيل «الأصلي»  

ابتعد Handala عن استخدام البرمجيات الخبيثة المخصصة سهلة الاكتشاف، واتجه نحو إساءة استخدام الأدوات الأصلية.

• خطة Microsoft Intune: في هجوم Stryker، أثبت Handala أنه قادر على مسح عشرات الآلاف من الأجهزة عن بُعد من خلال الاستيلاء على بيئات Microsoft Intune. وحاول Handala مؤخراً اختراق جهة أمريكية كبيرة في قطاع النفط والغاز باستخدام تكتيك مشابه، لكن المحاولة أُحبطت بواسطة أحد أعضاء فريق الأمن اليقظ.

• ما التالي: نتوقع في Shieldworkz أن يستهدفوا مزودي الخدمات المُدارة (MSPs)، ومراكز البيانات، ومزودي الهوية السحابية. وبدلاً من نشر «مُمحاة Handala»، سيحاولون استخدام أدوات الإدارة الخاصة بالضحية نفسها (مثل Azure أو Intune أو JumpCloud) من أجل «إخراج» البنية التحتية من الخدمة. وهذا يجعل إسناد الهجوم أبطأ، ويجعل التعافي شبه مستحيل إذا كانت «النسخ الاحتياطية» مُدارة أيضاً ضمن المستأجر السحابي المخترق نفسه.

• تعلمت Shieldworkz أن Handala يستحوذ على عشرات الآلاف من السجلات المسروقة كل شهر. ويشير هذا الجهد إلى محاولة مواصلة اختراق الشبكات من الداخل لاستخدام الأدوات الإدارية لإحداث تعطيل كبير

كيف يقارن Handala مع فاعلي التهديد المعروفين مثل Lazarus وSandworm؟

تعمل مجموعة Lazarus لتحقيق أهداف مالية، ولا يُعدّ التعطيل هدفاً أساسياً لها
يستهدف Sandworm أنظمة OT لإحداث تأثير حركي
تشمل الأهداف العملياتية لـHandala حرباً نفسية وحرباً على طبقة الهوية

وهذا يجعل Handala فاعل تهديد أكثر خطورة.

إحياء الموتى (إعادة بعث الشخصية بالذكاء الاصطناعي)

يُعدّ هذا بالتأكيد أكثر التطورات إثارة للقلق بعد وفاة قائدهم، Panjaki، في مارس. كان معظم المحللين يتوقعون فراغاً يؤدي إلى انهيار تدريجي للعمليات. لكن Handala تحرك بسرعة ونشر بروتوكول «القيادة الأبدية». وفي الأيام الأولى، جرى تداول رسائل منسوبة إلى Panjaki على نطاق واسع داخل Handala، تدعو إلى «الانتقام عبر الحدود». وقد حافظ ذلك على ارتفاع مستوى الحافز لدى أعضاء المجموعة خلال فترات العمليات المكثفة وفي عطلات نهاية الأسبوع. والآن بعد أن مضت المجموعة قدماً، نرى أنها قد تطرح ورقة تحفيز جديدة في الأيام المقبلة.

وعند تفعيله عملياً، سيخدم إحياء الذكاء الاصطناعي غرضين مزدوجين:

• الحفاظ على الروح المعنوية الداخلية

• تعزيز الدعاية الخارجية وسرديات التجنيد

وهذا يعكس أنماطاً تاريخية أعادت فيها الجماعات المتطرفة استخدام صور القيادة الإرثية للحفاظ على النفوذ.

نقدّر أن المجموعة قد تختبر إعادة بناء الشخصية المُولدة بالذكاء الاصطناعي، مع الاستفادة من تركيب الصوت وتقنيات التزييف العميق لمحاكاة استمرارية القيادة.

إن إعادة Panjaki لا تتعلق بالدافعية بقدر ما تتعلق بإيصال رسالة مفادها أن Handala ما زال موجهاً من قِبل قائده السابق، الذي تصبح كلماته أكثر أهمية الآن. ويستند هذا التحرك إلى الدليل الذي أتقنته جماعة القاعدة في أوائل الألفية، حين كانت مقاطع أسامة بن لادن القديمة تُستخدم مع طبقة من رسائل جديدة بصوته لحشد أعضاء المجموعة.   

التوقع الاستراتيجي لـ Shieldworkz: «الخطوات التالية» لعام 2026

التحول إلى «الحصار المعرفي»

ينتقل Handala من جماعة تعطيل إلى وحدة حرب نفسية. إن ادعاءه بتدمير 6 بيتابايت من البيانات، حتى لو كان مبالغاً فيه، مصمم لخلق «حصار معرفي». ومن خلال إغراق الفضاء المعلوماتي بسرديات تهديد عالية الحجم ومتفاوتة المصداقية، يعملون على جعل العالم الرقمي يبدو غير آمن، بغض النظر عن الضرر التقني الفعلي.

فما هو الحصار المعرفي؟ تُعرّفه Shieldworkz بأنه ضغط نفسي مستمر يُنشأ عبر تعطيل مدعوم سيبرانياً، وتعزيز السرديات، والهشاشة المنهجية المتصورة.

الخلاصة الأساسية هي تجنب البحث عن برمجيات خبيثة جديدة، والتركيز بدلاً من ذلك على بيانات اعتماد الإدارة المخترقة ودعاية التزييف العميق. فخطوة Handala التالية لا تتمثل ببساطة في استهداف أنظمتك، بل في كسر ثقتك بهذه الأنظمة نفسها التي تقوم عليها العمليات.

وللدفاع ضد فاعل مثل Handala، يجب فهم أنه يعمل أقل شبهاً بـ«المخترقين» التقليديين وأكثر شبهاً بُـسُرّاق هوية تحولوا إلى مُضرمين للحرائق. فهو لا يريد بياناتك فحسب؛ بل يريد استخدام أدوات الإدارة الخاصة بك لإحداث أثر تشغيلي مدمر.

تشمل «الحصار المعرفي» لدى Handala ما يلي:

• الوصول - اختراق الهوية

• الإجراء - تعطيل باستخدام الأدوات الأصلية

• التضخيم - سردية Telegram/X

• التحريف - ادعاءات مبالغ فيها (بل وحتى كاذبة)

• الاستمرارية - دورات متكررة من الرسائل

 الدروس المستفادة من هذا «الحصار المعرفي»

· يعكس تطور Handala تحولاً من التعطيل البحت نحو عمليات التأثير النفسي.

· إن ادعاءات تدمير البيانات على نطاق واسع، سواء تم التحقق منها أم لا، تؤدي غرضاً استراتيجياً يتمثل في تقويض الثقة في البنية التحتية الرقمية.

· ومن خلال الجمع بين اختراقات البيانات، ورسائل الترهيب، وتعزيز السرديات، تحاول المجموعة خلق حالة من عدم اليقين المستمر لدى السكان والمؤسسات المستهدفة.

دليل Handala: أبرز TTPs

فيما يلي تفصيل لتقنياتهم وإجراءاتهم وأساليبهم (TTPs) المحددة، والواقع «ما بعد وقف إطلاق النار» الذي ندخله. وعلى خلاف المجموعات التي تستخدم ثغرات «Zero-Day» معقدة، يستخدم Handala أساليب «العيش على الأرض» (Living off the Land - LotL) و«العيش على السحابة» للبقاء غير مرئي.

• تسليح الهوية (الوصول الأولي):

  • الوسيلة: يستهدفون في الأساس مزودي الخدمات المُدارة (MSPs) وشركات دعم تقنية المعلومات. ومن خلال اختراق مسؤول واحد لدى مزود خدمة، يحصلون على وصول «وضع الإله» إلى مئات العملاء اللاحقين.

  • الطريقة: استخدام واسع لحسابات VPN مخترقة. وغالباً ما يستخدمون شبكات VPN تجارية (مثل Proton أو Nord) لإخفاء مصدرهم، مع الظهور باسم مضيف قياسي مثل «DESKTOP-XXXXXX».

• الاستيلاء على الإدارة (الاستمرارية والتنفيذ):

  • إساءة استخدام Microsoft Intune: هذه هي حركتهم «العلامة المميزة» في 2026. يستولون على مستأجر Intune أو Azure لدفع «برامج صيانة» (وهي في الواقع أدوات مسح) إلى جميع نقاط النهاية المُدارة.

  • أنفاق NetBird: للتحرك جانبياً داخل الشبكة دون إثارة تنبيهات الجدار الناري، ينشرون NetBird، وهي أداة شبكية عديمة الثقة، لإنشاء نفق خاص مباشرةً إلى خوادم القيادة والسيطرة (C2) الخاصة بهم.

• استراتيجية «الممحاة الرباعية»:

  • خلال المرحلة النهائية المدمرة، غالباً ما يشغّلون أربع طرق مسح مختلفة بالتوازي (مثل مُدمّر لـ MBR، وأداة الكتابة فوق نظام الملفات، ونص PowerShell، وملف batch). ويزيد التنفيذ المتوازي من احتمال النجاح التدميري، حتى إذا تم اكتشاف العمليات الفردية.

كيف ترصدهم

للإيقاع بـ Handala، عليك البحث عن «الانحراف الإداري» بدلاً من «توقيعات البرمجيات الخبيثة».

• تنبيه «أول مرة»: راقب عمليات تسجيل الدخول الأولى من الحسابات الإدارية خارج ساعات العمل المعتادة، لا سيما إذا كانت قادمة من مزودي ASN/الاستضافة الجدد.

• راقب تغييرات Intune/GPO: فعّل تنبيهات فورية لأي كائنات نهج مجموعة (GPOs) جديدة أو ملفات تعريف إعدادات Intune تتضمن نصوصاً برمجية (عادةً .bat أو .ps1).

• تحقق من NetBird أو Tailscale: هاتان أداتان مشروعـتان، لكن إذا لم يقم فريق تقنية المعلومات لديك بتثبيتهما، فهذه إشارة خطر كبيرة. يستخدمهما Handala لتجاوز مراقبة VPN التقليدية.

• نبضات «التحقق»: غالباً ما يختبر Handala بيانات الاعتماد قبل الهجوم بساعات. راقب حالة «تسجيل دخول ناجح يتبعه صفر نشاط». فهذا يعني أن المهاجم يتحقق من أن «المفتاح» يعمل قبل أن يشعل الحريق.

قائمة مهام لفرق الأمن

·  لا تبحث عن برمجيات خبيثة جديدة. ابحث عن إساءة استخدام الثقة.

·  لا يقوم نموذج Handala على استغلالات جديدة، بل على التحكم في طبقات الهوية والوصول والإدارة.

·  لم يعد الهدف مجرد التعطيل، بل إنهاء الثقة المنهجية في العمليات الرقمية.

قائمة مهام لمسؤولي أمن المعلومات (CISOs)

• إجراء تدقيق للتعرض الهوياتي المميز عبر منصات SaaS

• مراقبة السلوك الإداري، وليس البرمجيات الخبيثة فقط

• التحقق من استقلالية النسخ الاحتياطية عن طبقة الهوية الأساسية

• إنشاء مراقبة سيبرانية-نفسية (العلامة التجارية + استخبارات التهديدات)

في عالم ما بعد وقف إطلاق النار، يتحرك Handala من «التخريب الصاخب» إلى «التسلل المنهجي منخفض الضوضاء». فهو لم يعد يسعى فقط إلى تصدر العناوين؛ بل يسعى إلى السيطرة على «أنابيب» الإنترنت حتى يتمكن من إيقافها في أي لحظة.

موارد إضافية

قائمة التحقق لمعالجة أمن PLC

قائمة التحقق الأساسية لأمن OT