حنظلة: تشريح لأخطر فاعل تهديد مدمر في إيران
فريق شيلدوركز
الاسم المستعار الرئيسي
حنظلة / حنظلة هاك
مدعوم من
وزارة الاستخبارات الإيرانية (قريب من الحرس الثوري الإيراني)
أول ظهور موثق
18 ديسمبر 2023
الدافع الرئيسي
عمليات تدميرية / نفسية
الحالة الحالية
نشطة، تعيد التنظيم والتجنيد (بعد استيلاء الـ FBI)
في صباح يوم 11 مارس 2026، قام الموظفون في مكاتب شركة Stryker في 79 دولة بتشغيل حواسيبهم ووجدوا شيئاً لم يروه من قبل: صبي كرتوني صغير حافي القدمين يحمل مقلاعاً يحدق إليهم من شاشات تسجيل الدخول الخاصة بهم. وبعد لحظات، أُظلمت أجهزتهم. تم محو أكثر من 200,000 نظام عن بعد.
ما تبع ذلك كان واحدة من أكثر الهجمات السيبرانية تدميراً تم تنفيذها ضد شركة أمريكية، ولكن ليس من خلال استغلال متطور جديد، بل من خلال إساءة استخدام منهجية لـ Microsoft Intune، منصة إدارة الأجهزة الخاصة بـ Stryker، والتي تم تسليحها من قبل المهاجمين الذين كانوا داخل الشبكة لأشهر قبل الضغط على الزناد. يمكنك قراءة منشور مفصل عن هذا الحادث، هنا.
هذا التقرير هو دراسة جنائية متعمقة في تهديد المهاجم الذي يقف وراء هذا الهجوم. حنظلة ليست جماعة قرصنة ناشئة. بل هو شخصية عامة مصممة بعناية يديرها فريق مانتيكور، وحدة إلكترونية داخل وزارة الاستخبارات والأمن الإيرانية (MOIS) - وتحديداً قسم مكافحة الإرهاب. قائمة الأهداف الخاصة بها، وسرعة عملياتها، والأحداث الجيوسياسية التي تؤدي إلى حملاتها الأكثر تدميراً لا تترك مجالاً للالتباس: إنها سلاح دولة.
التحول الهيكلي
يمثل هجوم Stryker تحوليًا هيكليًا في عقيدة عمليات حنظلة. لقد تجاوزت المجموعة العمليات النفسية ضد البنية التحتية الإسرائيلية إلى هجمات مكافئة للحركة الحركية عالية التأثير ضد الشركات الأمريكية المدرجة في فورتشن 500. هذا التصعيد مرتبط مباشرة بالضربات العسكرية المشتركة بين الولايات المتحدة وإسرائيل على إيران في 28 فبراير 2026 (عملية الغضب الملحمي). يجب أن تتعامل فرق الأمان التي تحمي المؤسسات الغربية التي لها أي صلة بإسرائيل أو الدفاع الأمريكي أو البنية التحتية الحيوية مع حنظلة على أنها تهديد نشط ومتزايد.
200K+ أجهزة تم محوها (STRYKER)
50 تيرا بايت بيانات مزعومة تم استخراجها
85+ هجمات مزعومة (2024–25)
79 دولة متضررة
الأصول والهوية
حنظلة الشخصية استعارت اسمها من صبي يبلغ من العمر 10 سنوات حافي القدمين رسمه الكارتوني نجيب العلي في عام 1969. تبنت الاستخبارات الإيرانية هذا الرمز بالكامل: يظهر نفس الصبي الحافي في قناة حنظلة على تيليغرام، وعلى شاشات التشويه المعروضة على الأجهزة التي تم محوها، وفي الصور الدعائية التي تم إسقاطها على الأقراص المدمرة.
لم يكن توقيت ظهور المجموعة مصادفةً. أطلق حنظلة هاك قناته على Telegram وحساب X/Twitter في وقت واحد في 18 ديسمبر 2023 - بعد أسابيع من هجوم حماس في 7 أكتوبر 2023 على إسرائيل والحملة العسكرية الإسرائيلية اللاحقة في غزة. وضع نفسه ضمن موجة نشاط الهاكرز المؤيدة لفلسطين التي تبعت ذلك، ونشر في البداية محتويات تشير مباشرة إلى حماس قبل التوجه إلى رسائل أوسع مناهضة لإسرائيل، وبشكل متزايد، مناهضة للغرب.
وجوه حنظلة الثلاثة
حنظلة هو أحد الوجوه التشغيلية العديدة التي تمتلكها هذه المجموعة. يحافظ المهاجم الأساسي على ما لا يقل عن ثلاث شخصيات عامة، يتم توجيه كل منها إلى مجموعات أهداف مختلفة:
حنظلة هاك
المعروف أيضًا بـ: حنظلة، هاتف، همسه، حنظلة تيم
الحالة: مهيمنة
الوجه العام الرئيسي منذ أواخر 2023. يستخدم لجميع العمليات الموجهة ضد إسرائيل والآن ضد الولايات المتحدة. منصة التسريب، مركز الدعاية، وقناة التجميل. كان Karma يبدو كالسلف؛ حنظلة امتصه بالكامل.
كارما
المعروف أيضًا بـ: KARMA (تاريخيًا)
الحالة: خامدة
عملت بالتوازي مع حنظلة خلال الحملات الإنقاذية المبكرة. أحيانا كانت الرسائل المسببة تحمل علامة Karma بينما كانت البيانات المسروقة تنشر من خلال حنظلة. يقيم Check Point أن الفريقين تداخلا؛ لم يظهر Karma بشكل مستقل منذ منتصف 2025.
عدالة الوطن
المعروف أيضًا بـ: عدالة الوطن (العمليات في ألبانيا)
الحالة: نشطة — ألبانيا-تخصصية
تم الحفاظ عليه منذ منتصف عام 2022 خصيصًا للعمليات ضد الحكومة الألبانية والاتصالات والمنظمات الخدمية العامة. تعاونت مع وحدة أخرى في MOIS تعرف باسم Scarred Manticore في الحملات الألبانية. يستمر في العمل بشكل مستقل.
الدليل على الالتقاء مقنع: قامت Check Point بتوثيق تداخلات الكود في الممحيات المنتشرة عبر جميع الشخصيات الثلاث، وبنية تحتية مشتركة للقيادة والسيطرة، والحوادث التي ظهرت فيها رسائل ممحاة تحمل علامة Karma في البيئات المخترقة بينما تم تسريب البيانات المسروقة عبر قنوات حنظلة. فريق واحد، ثلاث وجوه — كل منها معايَر لجمهور وسياق جيوسياسي مختلف.
هيكل القيادة
لفهم من يسيطر على حنظلة، يتطلب الأمر تقشير طبقة الشخصية العامة الهاكر إلى هيكل منظمة MOIS تحتها. قامت التقارير العامة، بما في ذلك البحث الذي أجره الصحفي الباحث الإيراني ناريمان غريب، برسم سلسلة القيادة بدقة معقولة:
وزارة الاستخبارات والأمن القومي الإيرانية (MOIS)
وزارة المعلومات والأمن القومي (VEVAK)
نائب الأمن الداخلي في MOIS — قسم مكافحة الإرهاب (CT)
الراعي الرئيسي وبنية الإشراف العملي على عمليات Void Manticore
سيد يحيى حسيني بنجاكي — مشرف القسم المعاقب من قبل وزارة الخزانة الأمريكية في سبتمبر 2024 [UK / EU معاقب] [قائمة مراقبة الإرهاب لدى FBI]
مسؤول على مستوى نائب الوزير. أشرف على وحدة الإنترنت CT التي تشمل عمليات حنظلة. تم الإبلاغ عن مقتله في ضربات إسرائيلية على أهداف استخباراتية إيرانية، أوائل مارس 2026.
المُشغلون
المشغلون اليدويون على لوحة المفاتيح. فريق صغير؛ عمليات ثقيلة على بروتوكول RDP يدوي. إدارة متعددة الشخصيات (حنظلة، كارما، عدالة الوطن).
مقدمي الخدمة الجنائية (وسطاء الوصول الأولي)
تم توثيق أن المجموعة تشتري وصولاً أوليًا وأدوات من الخدمات الجنائية السرية. يتم استخدام أسواق سجلات Infostealer للحصول على بيانات اعتماد الشركات (تم تأكيدها في Stryker). تعاون مع Scarred Manticore (وحدة أخرى في MOIS) في العمليات الألبانية.
عدد الشركاء
مباشر: لا يوجد
أكدت SecurityWeek أن سيد يحيى حسيني بنجاكي قتل في المرحلة الافتتاحية للضربات الإسرائيلية على البنية التحتية للاستخبارات الإيرانية في أوائل مارس 2026. تم الإبلاغ أيضًا عن قتل شخصية ثانية يدعى محمد مهدي فرهادي رامين — الذي تم اتهامه سابقًا من قبل الولايات المتحدة في 2020 بالقرصنة برعاية حكومية. يخلق فقدان القيادة العليا للوحدة فترة من الاضطرابات التشغيلية المحتملة، ولكن تاريخياً، تعيد وحدات الإنترنت في MOIS التكوين في غضون أيام ويمكن أن تعمل بعدوانية متزايدة ردًا على الشعور بشهادة القيادة.
الميزانية والموارد
تعمل حنظلة بميزانية تبلغ 7.7 مليون دولار أمريكي سنويًا. يتم استثمار هذا المال في هذه المجالات بشكل رئيسي.
المؤشر | التقييم |
|---|---|
شراء الأدوات | سجلات Infostealer التجارية تم شراؤها من الأسواق الجنائية؛ لا يوجد دليل على وجود ثغرات باهظة الثمن (zero-days). تكلفة الأدوات المنخفضة تشير إلى تحسين للميزانية. |
البنية التحتية | خدمات VPN التجارية أساسًا، واتصالات الأقمار الصناعية Starlink، والبنية التحتية الضحية المختطفة. إنفاق منخفض على البنية التحتية المخصصة. |
عدد المشغلين | تقدير بفريق صغير يضم من 10 إلى 30 مشغلًا عبر جميع الشخصيات مدعوم بفريق من الممكنيلات الإدارية. |
الدعاية والإعلام | قنوات تيليغرام مخصصة، موقع ويب ذو درجة احترافية (استولت عليه الـ FBI الآن)، ومنصة تجسس مخصصة (RedWanted) تشير إلى استثمار مهم في طبقة العمليات النفسية. |
الوحدات المقارنات | منظمة CyberAv3ngers المرتبطة بـ IRGC تقدر بميزانية سنوية تتراوح بين 5 ملايين و15 مليون دولار (CSIS). حنظلة، بكونها قائمة على MOIS وصغيرة الحجم، من المحتمل أن تعمل في نطاق 2 مليون إلى 8 مليون دولار سنويًا. |
التاريخ التشغيلي والجدول الزمني للحملات
وثق الباحثون في جامعة رايشمان ما لا يقل عن 85 هجومًا تم الادعاء بها بين فبراير 2024 وفبراير 2025 فقط. يرتبط استهداف حنظلة وثيقًا بالتطورات الجيوسياسية. ويمثل ما يلي العمليات الأكثر أهمية التي تم التحقق منها أو التي تحمل موثوقية عالية:
ديسمبر 2022 — أغسطس 2023
عدالة الوطن — تاريخ ألبانيا المسبق
قبل حنظلة، نفذت نفس بنية Void Manticore عمليات مدمرة ضد الأنظمة الحكومية الألبانية تحت شخصية عدالة الوطن — مستهدفة حكومة وكالة الألبانية الوطنية لمجتمع المعلومات، ونظام إدارة الحدود TIMS، والبنية التحتية للاتصالات. أدخلت هذا العمل الوظائف الأساسية للخصم: سرقة بيانات الاعتماد عبر VPN، وإتلاف محو البيانات، والقرصنة والتسريب للتأثير النفسي.
18 ديسمبر 2023
ظهور حنظلة — إطلاق تيليغرام
تم إطلاق حنظلة وحسابه على X/Twitter في آن واحد بعد أسابيع من 7 أكتوبر 2023. تُسطح الرسائل الأولية المجموعة في نطاق النظام البيئي للقرصنة المساندة لفلسطين، بالإشارة صراحة إلى حماس. تم تحديد غطاء استراتيجي.
مطلع 2024
بدء الحملة على البنية التحتية الإسرائيلية — عملية HamsaUpdate
حملة متعددة الأهداف تستخدم Hamsa (ممحاة Linux) وHatef (ممحاة Windows) ضد المنظمات الإسرائيلية. الطُعمات المزيفة مكتوبة بلغة عبرية دون أدنى خطأ، تتظاهر بأنها تحديثات لبرامج F5. أصدرت وزارة الإنترنت الوطنية الإسرائيلية تنبيهًا عامًا مع مؤشرات التهديد. ادعاءات خادم الطقس العسكري، والوصول إلى كاميرات الأمن في القدس تم المطالبة بها. بدأ التجسس عن مسؤولي الاستخبارات الإسرائيلية.
سبتمبر 2024
ادعاء مركز الأبحاث النووية سوريك
يدعي حنظلة أنه اخترق مركز الأبحاث النووية سوريك وسحب ما يقرب من 197 جيجابايت من بيانات المشروع النووي المصنفة. تقيم وزارة الإنترنت الوطنية الإسرائيلية هذا باعتباره في الأساس حربًا نفسية. تولد الادعاء تغطية إعلامية عالمية، توضح أن حنظلة يتعامل مع الادعاءات الغير مؤكدة كسلاح أساسي حتى في غياب تأكيد تقني.
سبتمبر 2024
عقوبات وزارة الخزانة الأمريكية على بنجاكي
وزارة الخزانة الأمريكية تدرج سيد يحيى حسيني بنجاكي. أوروبا والمملكة المتحدة تتبع. يضعه مكتب التحقيقات الفدرالي في قائمة مراقبة الإرهاب. التأكيد العام يؤكد تقييم حكومة الولايات المتحدة لمسؤولية MOIS عن عمليات حنظلة.
فبراير 2025
اختراق بيانات الشرطة الإسرائيلية
ادعت سرقة 2.1 تيرابايت من بيانات الشرطة الإسرائيلية بما في ذلك سجلات الموظفين، ومخزونات الأسلحة، والملفات النفسية للضباط. تعزى الشرطة الإسرائيلية ذلك إلى طرف ثالث تسبب في خرق البائع. بعض المواد المنشورة تم تقييمها على أنها قديمة، مما يحافظ على نمط مزج البيانات المسروقة الأصلية بالادعاءات المضخمة أو غير المؤكدة.
يناير 2026
هجوم على منظومة الصوت في رياض الأطفال
يخترق حنظلة أنظمة إنذار الطوارئ Maagar-Tec التي تخدم أكثر من 20 رياضًا للأطفال في إسرائيل. تفعيل صافرات الغارة الجوية وبث رسائل تهديدية بالعربية للأطفال. تصعيد متعمد يستهدف التأثير النفسي على المدنيين، مما يثبت الاستعداد لتجاوز الحدود التي يتجنبها الفاعلون المقيدون بالدولة عادةً.
1 مارس 2026
إطلاق منصة التجسس RedWanted
يُطلق حنظلة RedWanted، وهي موقع تجسس مخصص يسرد الأفراد والمنظمات الذين يُعتقد أنهم دعموا إسرائيل. نشر البريد الالكتروني الشخصي للمخرج السابق لأبحاث الموساد سيما شاين (أكثر من 100,000 بريد إلكتروني). تجسس على ضباط البحرية الإسرائيلية الكبار. تم استهداف الجامعة العبرية في القدس. المنصة مصممة بشكل صريح كبنية تحتية للتحرش والترهيب تستهدف الأفراد وليس فقط المنظمات.
28 فبراير 2026
عملية الغضب الملحمي — الزناد
تبدأ الضربات العسكرية المشتركة بين الولايات المتحدة وإسرائيل على أهداف إيرانية (عملية الغضب الملحمي). تشير التقارير الاستخبارية لاحقًا إلى أن حنظلة كان قد وضع مسبقًا وصولاً داخل Stryker وربما منظمات أمريكية أخرى قبل أسابيع — لم تسبب الضربات الوصول، بل سحبت الزناد على الوصولات المهيأة مسبقًا.
11 مارس 2026
سترايكر — العملية الأكثر تدميرًا حتى الآن
يمسح حنظلة أكثر من 200,000 جهاز عبر أنظمة Stryker Corporation في 79 دولة بإساءة استخدام الوصول الإداري لـ Microsoft Intune الذي تم الحصول عليه عبر بيانات اعتماد تم حصدها من Infostealer. تؤكد Stryker "تعطل شديد على مستوى العالم" في ملف SEC 8-K. تعطل معالجة الطلبات والتصنيع والشحن عالميًا. شعار حنظلة يحل محل شاشات تسجيل الدخول على الأجهزة المتضررة في جميع أنحاء العالم. يدعي في الوقت نفسه الهجوم على Verifone (لم يتم تأكيده من قبل Verifone).
20 مارس 2026
استيلاء FBI على مواقع حنظلة — إزالة النطاقات
يستولي FBI على handala-hack[.]to وhandala-redwanted[.]to تحت مذكرة محكمة مصرح بها من وزارة العدل. تصف وزارة العدل المنصات على أنها "عمليات نفسية" تديرها MOIS الإيرانية. يتم الاعتراف بتلك الخطوة من قبل حنظلة على تيليغرام ويعلن عن بنية تحتية جديدة بديلة قادمة — وهو رد يتسق مع عمليات إزالة سابقة لقنوات المجموعة.
TTPs — التكتيكات والتقنيات والإجراءات
سلسلة التسلل الخاصة بحنظلة بسيطة بشكل خادع. لا يعتمد الفريق على استغلال الثغرات الجديدة (zero-day). تأتي قوته من الجمع بين إساءة استخدام بيانات الاعتماد، والعمليات اليدوية، والإزالة المتعددة للملفات في نفس الوقت المنفذة بسرعة بمجرد تأكيد الوصول. هذا يجعلهم أصعب في الاكتشاف قبل الأثر وأصعب في الإيقاف خلاله.
المرحلة | التقنية | الملاحظة |
الاستطلاع | البحث عن الثغرات | يستهدفون تحديداً Zimbra وExchange للثغرات ($CVE-2022-27925$، على سبيل المثال) للحصول على موطئ قدم أولي. |
التسلح | المحايات المخصصة | يستخدمون ممسحة خاصة غالبًا ما يتم تنكرها كـ "تحديث أمني." لا تقوم فقط بحذف الملفات؛ بل تعيد كتابة سجل الإقلاع الرئيسي (MBR). |
الاستخراج | روبوت API تيليغرام | بدلاً من FTP/S3 القياسية، فإنهم غالبًا ما يخرجون البيانات الوصفية ودفعات صغيرة حساسة عبر قنوات تيليغرام المشفرة لتجاوز مرشحات DLP القياسية. |
العمليات النفسية | القرصنة والتسريبات | يطلقون مقاطع فيديو "إثبات القرصنة" على بوابة "حنظلة" الخاصة بهم، وغالبًا ما تُظهر لقطات شاشة لواجهات إدارة داخلية للضحية. |
سلسلة هجوم حنظلة
الحصول على بيانات الاعتماد
شراء سجلات Infostealer من الأسواق الجنائية. استهداف مزودي تكنولوجيا المعلومات وخدمات الإدارة السحابية للوصول إلى الضحايا من الدرجة الثانية. القوة الغاشمة لبنية VPN.
الوصول الأولي عبر VPN
اختراق VPN باستخدام بيانات الاعتماد المسروقة. الأصل: عقدة VPN التجارية (169.150.227.X)، IPs Starlink، أو نطاقات IP الإيرانية المباشرة (تضاؤل OPSEC).
التحضير المسبق (أشهر)
تم الحفاظ على الوصول قبل المرحلة التدميرية بأشهر. تم الحصول على بيانات اعتماد كمدير المجال. تم تنفيذ الاختبارات بهدوء قبل الإطلاق.
الحركة الجانبية عبر RDP
جلسات RDP يدوياً بين الأنظمة. تم نشر NetBird للربط الشبكي الداخلي غير المرئي. 5+ أنظمة مهاجم نشطة بشكل متزامن.
تصعيد الامتيازات
تسليح أدوات المسؤول
استخدام بيانات اعتماد مدير المجال أو Intune لتسليح MDM/GPO لإنشاء أوامر تدميرية جماعية.
نشر متعددة المحاييث في نفس الوقت
4 تقنيات محو مميزة تعمل بالتوازي عبر GPO. أقصى تأثير، نافذة استرداد ضئيلة.
حمولة نفسية + تسريب
شعار حنظلة على الشاشات. صورة دعائية على الأقراص. تم نشر بيان التدريب على تيليغرام. تم نشر تسريب البيانات للتضخيم.
ترسانة المحاييث
الأداة / التقنية | المنصة | الطريقة | الخاصية المميزة |
|---|---|---|---|
ممحاة حنظلة(handala.exe) | ويندوز | إعادة كتابة محتويات الملفات؛ تهاجم MBR لتلف بنية القرص | ملف ثنائي مخصص؛ غير قابل للاسترجاع. آثار مسماة موجودة على القرص. |
ممحاة PowerShell المساعدة بالذكاء الاصطناعي | ويندوز | تفكيك الملفات بشكل متكرر وحذفها في داخل الدلائل المستخدمات؛ إغراق الأقراص بـ | تعليقات موسعة في التعليمات البرمجية تشير إلى تطوير مساعد بالذكاء الاصطناعي (مكتوبة من قبل LLM). نشرت عبر GPO. |
ممحاة هاتف | ويندوز | تدمير ملفات سريع ومكرر على مستوى الملفات؛ إعادة الكتابة بكتل بيانات عشوائية بحجم 4096 بايت | فحص فردي يمنع تثبيتات متعددة. تم تسميتها من كلمة "هاتف" الفارسية. تم توثيقها بواسطة Intezer / إسرائيل INCD. |
ممحاة همسة | لينكس | مبنية على Bash؛ تستهدف أنظمة ملفات خوادم Linux | قدرة متقاطعة المنصات. تستخدم بالتزامن مع Hatef للبيئات المختلطة ويندوز/لينكس. |
سوء استخدام VeraCrypt | ويندوز | أداة تشفير القرص القانونية تم تنزيلها عبر متصفح الضحية عبر RDP، ثم استخدمت لتشفير الأقراص | يعقد الاسترداد الجنائي. يتم تنزيله من الموقع الرسمي — يتجنب الكشف عن البرامج الضارة AV. |
تسليح Microsoft Intune | MDM السحابي | استخدم بيانات اعتماد المسؤول لإصدار أوامر مسح عن بعد شرعية إلى جميع النقاط النهائية المسجلة عالميًا | لا يتم نشر ملف ثنائي لمسح. يستخدم بنية إدارة المنظمة الخاصة كسلاح. يتجاوز EDR بالكامل. تم توثيقه لأول مرة بهذا الحجم في Stryker (مارس 2026). |
نشر NetBird | ويندوز | أداة شبكة متشابكة للثقة الصفرية تم تنزيلها عبر متصفح الضحية؛ يخلق نفقًا داخليًا مشفرًا | TTP جديد اعتبارًا من 2026. يسمح بالتنسيق بين محطتين قدم للمهاجم. أداة قانونية — تتجنب الكشف عن الشبكة القائمة على ضمان المواقع. |
مطابقة MITRE ATT&CK (V15)
معرف التقنية | التكتيك | الوصف | الملاحظة |
|---|---|---|---|
T1566 / T1598 | الوصول الأولي | التصيّد الاحتيالي (توجهات بلغات عبرية تتظاهر بأنها تحديثات F5) والتصيّد لبيانات الاعتماد | مؤكد |
T1133 | الوصول الأولي | الحسابات المخترقة للمنافذ الخارجية VPN باستخدام بيانات الاعتماد المسروقة | مؤكد |
T1110 | الوصول إلى بيانات الاعتماد | محاولات تسجيل الدخول بالقوة الغاشمة إلى VPN؛ مئات المحاولات على الهدف | مؤكد |
T1199 | الوصول الأولي | اختراق سلسلة التوريد عبر IT/MSP الموفرين للوصول إلى الضحية النهائية | مؤكد |
T1078 | التحايل على الدفاع / استمرارية | استخدام الحسابات الصالحة طوال الوقت؛ بيانات الاعتماد الإدارية التي تم حصدها من Infostealer | مؤكد |
T1021.001 | التحرك الجانبي | استخدام بروتوكول سطح المكتب البعيد (RDP) للتحرك الجانبي اليدوي بين الأنظمة الداخلية | مؤكد |
T1572 | القيادة والسيطرة | تم نشر VPN مش شبكة NetBird الثقة الصفرية داخل شبكة الضحية لتوجيه حركة القيادة والسيطرة | مؤكد |
T1047 | التنفيذ | Windows Management Instrumentation (wmic.exe) لإنشاء عملية عن بعد وعمليات الملفات عبر مضيفي AD | مؤكد |
T1484.001 | تجنب الدفاع | استخدام ملفات سياسة المجموعة لتوزيع الماحات عبر جميع الأنظمة المتصلة بالمجال في وقت واحد | مؤكد |
T1490 | التأثير | إعاقة استرداد النظام: مسح سجل الإقلاع الرئيسي (MBR)، تشفير الأقراص باستخدام VeraCrypt، تشغيل الماحيات عبر GPO | مؤكد |
T1485 | التأثير | تدمير البيانات عبر أداة محواص خاصة بـ Handala، Hatef، وHamsa، والممحاة PowerShell | مؤكد |
T1491 | التأثير | تشويه المواقع والأجهزة؛ عرض شعار حنظلة على شاشات تسجيل الدخول المهكرة | مؤكد |
T1048 | الاستخراج | الاستخراج فوق البروتوكولات البديلة؛ تم جمع البيانات واستخراجها قبل المرحلة التدميرية | ادعى |
T1057 / T1046 | الاكتشاف | اكتشاف العمليات والخدمات الشبكية كجزء من الاستطلاع اليدوي داخل بيئة الضحية | موثوقية عالية |
مؤشرات الاختراق (IOCs)
ملاحظة المحلل حول موثوقية IOCs
تعمل المجموعة بشكل أساسي من خلال أنشطة يدوية ونشاط على الإنترنت يتم التحكم فيه يدويًا. بنيتها التحتية عابرة: عقد VPN تجارية، أدوات قانوية، وأنظمة تحت سيطرة الضحايا. تملك مؤشرات IOC القريبة فترة صلاحية قصيرة تستخدم للحجب ولكنها ذات قيمة عالية للصيد والتطابق. يجب استخدام البنية التحتية للنطاق وعنوان IP للبحث عن التهديد في سجلات تاريخية بدلاً من الحظر الدائم. لم يتم إصدار أي مؤشرات اختراق قضائية مؤكدة من تسلل Stryker للجمهور حتى كتابة هذه السطور.
البنية التحتية — النطاقات (ناقصة الضرر)
موقع التسريب المستولي عليهhandala-hack[.]to
منصة التجسس المستولي عليهاhandala-redwanted[.]to
قناة تيليغرامt[.]me/handala9 (قناة الرئيسي للممثل؛ للمراقبة فقط)
البنية التحتية — نطاقات العناوين IP (ناقصة الضرر)
خروج VPN (الرئيسي)169[.]150[.]227[.]X — نطاق VPN التجاري
خروج VPN (الثانوي)149[.]88[.]26[.]X — نطاق VPN التجاري
Starlink (بعد يناير 2026)188[.]92[.]255[.]X — نطاق عنوان Starlink
Starlink (بعد يناير 2026)209[.]198[.]131[.]X — نطاق عنوان Starlink
عقدة VPN الإسرائيلية146[.]185[.]219[.]235 — عقدة خدمة VPN المقدرة، استخدمت بشكل متقطع
مرشحات C2 ذكرتها البائع31[.]57[.]35[.]223 — RPC/SMB لنظام ويندوز المعرض (أكده Shodan)
مرشحات C2 ذكرتها البائع82[.]25[.]35[.]25 — RPC/SMB لنظام ويندوز المعرض (أكده Shodan)
البرامج الخبيثة — الأرشيفات (SHA-256 حيثما توفرت)
ممحاة Hatef (متغير)ca9bf13897af109cb354f2629c10803966eb757ee4b2e468abc04e7681d0d74a
الكود الخبيث Rhadamanthys تم نشره عبر طُعمات التصيد الاحتيالي بموضوع F5؛ العديد من المتغيرات — للبحث عن فيروس توتال بواسطة العائلة
مؤشرات السلوك / المضيف
أثر الممحاة handala.gif أُسقطت على الأقراص المنطقية بعد تنفيذ الممحاة
أثر الممحاة handala.exe — ثنائية ممحوة مخصصة في مسارات temp/system32
نشر NetBird netbird.exe تم تنزيله عبر المتصفح من netbird[.]io إلى مسارات غير معيارية
سوء استخدام VeraCrypt veracrypt[.]fr التنزيلات عبر متصفح الضحية عبر جلسة RDP؛ تشفير الأقراص بشكل جماعي
نمط المضيف المهاجم الأسماء الافتراضية لمضيفي ويندوز: DESKTOP-XXXXXX أو WIN-XXXXXXXX تتصل بـ VPN/RDP
توزيع GPO نصوص تسجيل دخول GPO الجديدة والمهام المجدولة توزع الملفات التنفيذية على جميع مضيفات المجال في وقت واحد
الوضع الحالي
اعتباراً من تاريخ هذا التقرير، فإن حالة حنظلة في حالة اضطراب نشط وليس إغلاقًا تشغيليًا. حجب موقع الـ FBI في 20 مارس 2026 أزال البنية التحتية الرئيسية لتسريب المعلومات والدعاية العامة المنظمة. إن التأكيد المؤكد لقتل سيد يحيى حسيني بنجاكي — المسؤول من MOIS الذي أشرف على وحدة Void Manticore — يمثل اضطرابًا قياديًا كبيرًا غير مسبوق في تاريخ هذا الممثل.
ومع ذلك، تشير عدة عوامل إلى إعادة التكوين السريعة:
أعلن رد تيليغرام الفوري من حنظلة على حجب مكتب التحقيق الفدرالي عن بنية تحتية جديدة بديلة سياتي قريبًا — مطابق لردودهم في السابق حول إزالة المنصة.
يواصل الفريق توسيع نطاق أهدافه، مدعيًا هجمات على مسؤولي الاستخبارات الإسرائيلية والجامعة العبرية حتى في ظل ضغط ما بعد Stryker.
تعمل وحدات الأمن الإلكتروني في MOIS بالاستمرارية المؤسسية بما يتجاوز القيادة الفردية. من المحتمل أن تكون الإشرافات البديلة قيد التنفيذ.
يشير الانخفاض في أمان التشغيل (الاتصالات المباشرة من النطاق الإيراني، استخدام Starlink) إلى وجود قيود إنترنت عسكرية في إيران بدلاً من الإهمال الذي سيستمر بعد إعادة التكوين.
مستوى تقييم التهديد
مرتفع. إن الجمع بين التصعيد الجيوسياسي (النزاع العسكري النشط بين الولايات المتحدة وإيران وإسرائيل)، واستعداد واضح لمهاجمة الشركات الأمريكية، وتقنية التكوين المسبق (الوصول الذي تم إنشاؤه قبل الشهور من التفجير)، والقدرة على إعادة التكوين السريع للبنية التحتية يعني أن فرق الأمان يجب ألا تعامل حجب الـ FBI كحل. حنظلة أعلن أن هذا "فصل جديد في الحرب السيبرانية." في وقت إعداد هذا التقرير، يتم إعادة بناء الفريق ومن المتوقع أن ينفذ عمليات أخرى ضد أهداف أمريكية وغربية خلال 30–60 يومًا.
الأهداف المحتملة المستقبلية
يتبع اختيار أهداف حنظلة منطقًا جيوسياسيًا واضحًا: مؤسسات تربطها علاقات مباشرة أو تعاقدية بالجيش الأمريكي أو الإسرائيلي أو الاستخبارات أو البنية التحتية الاقتصادية الحيوية. نشرت منظمة IRGC بشكل منفصل قائمة بشركات التقنية الأمريكية — بما في ذلك Google — كأهداف، مما يشير إلى نية إيران السيبرانية الأوسع في فترة التصعيد الحالية.
الأولوية 1: مرتفع
شركات الدفاع الأمريكية والتكنولوجيا الثنائية الاستخدام
تم استهداف Stryker بسبب عقدها الطبي 450 مليون دولار مع DoD. من المتوق creoisiون بالتبني منطقًا مشابها ليشمل شركات الفضاء واللوجستيات والاتصالات والأمن السيبراني التي لديها DoD/علاقات المتعهدين Defense.
الأولوية 1 — مرتفع
مُصنعي الأجهزة الطبية والرعاية الصحية
أدى اضطراب Stryker إلى تعطيل سلاسل التوريد الطبية في المستشفيات عالميًا. الرعاية الصحية هي هدف ضعيف ذو تأثير عالي: أقصى اضطراب للمدنيين، رؤى إعلامية عالية، انخفاض نضج الأمان لدى OT.
الأولوية 2 — مرتفع
الخدمات المالية والبنية التحتية للمدفوعات
حددت IRGC صراحة البنوك والمراكز الاقتصادية كأهداف شرعية. ادعاء Handala المتزامن على Verifone (جنبًا إلى جنب مع Stryker) يشير إلى نية الاستهداف ببنية الدفع. إمكانات اضطراب بقيمة عالية.
الأولوية 2 — مرتفع
البنية التحتية الوطنية الحرجة (الطاقة، الماء، الاتصالات)
سابقة IRGC/عدالة الوطن في ألبانيا. البيئات ICS/SCADA ذات التقسيم الضعيف بين تكنولوجيا المعلومات وOT هي أهداف مثلى للاضطراب التشغيلي الأقصى. CyberAv3ngers (وحدة IRGC منفصلة) تستهدف بالفعل مرافق الماء.
الأولوية 2 — مرتفع
مزودي خدمات تكنولوجيا المعلومات المدارة
لا يُعتبر المقدمو النهائيون أهدافًا مستهدفة — بل هي فيكتور للوصول. يستهدف Handala منهجيًا مزودي تكنولوجيا المعلومات والخدمة لحصاد بيانات اعتماد ضحايا الدرجة الثانية. أي MSP تخدم القطاعات أعلاه في خطر مرتفع لاستخدامها كجسر وصول.
الأولوية 3 — معتدل
أهداف اقتصادية دول الخليج
ادعى Handala شن هجمات ضد شركات الطاقة في الإمارات والسعودية (ادعاء استخلاص 1.3 تيرابايت). يجعل الاتفاق على التطبيع بين دول الخليج وإسرائيل (اتفاقيات إبراهيم) منظمات متصلة بين الخليج وإسرائيل هدفًا منطقياً للتوسع.
توصيات الدفاع
أهم درس دفاع من هجوم Stryker هو تسليح البنية التحتية الإدارية — تم استخدام Microsoft Intune كمنصة لمسح معلومات جماعية. لا تولد أدوات الكشف التقليدية في النهايات وأدوات الاستجابة أي مسار لتحذير الأوامر الشرعية للمسح عن بعد الصادرة من وحدة تحكم إدارية مشروعة. يتطلب الدفاع ضد حنظلة هوية أولاً وعدالة إدارة MDM.
الأولوية | السيطرة | المنطق المستخلص من TDPs الخاصة بـ Handala |
|---|---|---|
الأولوية القصوى | MFA مقاوم للتصيّد (FIDO2) على جميع حسابات Intune وأزوري AD وMDM الإدارية | كانت بيانات الاعتماد التي تم حصدها من Infostealer هي نقطة الوصول الأولية لـ Stryker. MFA مقاوم للتصيّد يحبط إعادة تشغيل بيان الاعتماد تمامًا. |
الأولوية القصوى | تدقيق والإنذار عن جميع أوامر المسح عن بعد في Intune؛ تنفيذ سير عمل في الاعتماد الجماعي لأكشنات الأجهزة | تم مسح أكثر من 200,000 جهاز عبر أوامر إدارة Intune الشرعية. لم يشتغل أي إنذار. يجب أن يتطلب المسح الجماعي الموافقة خارج الشبكة. |
الأولوية القصوى | التحذير ومنع الاتصالات من نطاقات IP لـ Starlink، ونطاقات IP إيرانية، ونطاقات VPN التجارية لـ VPN/RDP | تم توثيق البنية التحتية لخروج حنظلة. مراقبة الموقع الجغرافي والضوابط المستندة إلى ASN على محيط VPN فعالة بشكل كبير. |
مرتفع | المراقبة لعمليات تنزيل NetBird.exe وVeraCrypt من المواقع الشرعية عبر المتصفح على أجهزة الإدارة | يقوم Handala بتنزيل الأداتين بشكل تفاعلي عبر المتصفح المحمي الخاص بالضحية عبر RDP. سياق DLP الواعي سيشير إلى تنزيل غير عادي لأدوات الشبكات ذات الثقة الصفرية. |
مرتفع | مراقبة بيانات الاعتماد الخاص بـ Infostealer — الاشتراك في رصد الويب المظلم التجاري لبيانات اعتماد الشركات | كانت بيانات اعتماد Stryker الإدارية في سجلات Infostealer قبل أشهر من الهجوم. يتطلب SLA إلزامي دوران لمدة أربع ساعات عند الكشف. |
مرتفع | تقييد حقوق إنشاء وتعديل GPO؛ الإنذار عن نصوص تسجيل الدخول لـGPO والمهام المجدولة الجديدة | يوزع حنظلة الماسحات عبر GPO في جميع أنحاء المجال. يعد إنشاء GPO جديد بواسطة حسابات غير قياسية مؤشراً عالياً لاكتشاف. |
مرتفع | البحث عن أسماء الهوست الافتراضية لـ Windows (DESKTOP-XXXXXX، WIN-XXXXXXX) التي تظهر في سجلات VPN/RDP من IP الخارجية | يتصل عادةً مشغلي Handala من أجهزة Windows بأسماء هوست افتراضية — مؤشر سلوكي عالي في سجلات التوثيق. |
معتدل | نسخ احتياطية ثابتة وغير متصلة بالهواء لجميع الأنظمة؛ اختبار إجراءات الاستعادة الشهرية لإعدادات MDM | تكون هجمات الماسحات كارثية فقط إذا لم يكن هناك نسخة احتياطية نقية. النسخ الاحتياطي الغير متصلة بالهواء يعد خط الدفاع الأخير ضد الحملات التدميرية. |
نصائح الكشف
يؤسس Handala وصولًا قبل أشهر من المرحلة التدميرية. هذه هي نافذة الكشف. البحث عن تسجيلات الدخول عبر VPN المشبوهة من ASNs الأجنبية، أزواج المصادر الوجهات RDP غير المعتادة، والوصول إلى الحسابات المميزة خلال الأوقات غير الطبيعية في سجلاتك التاريخية التي تعود للفترة من 90 إلى 180 يومًا. إذا كان Handala هناك مسبقًا في بيئتك، فإن الأثر هناك. السؤال هو ما إذا كانت بنية الكشف الخاصة بك مُعدة لاكتشافها قبل إطلاق الممحاة.
إذا كنت تدقق في بيئتك أو في منتصف تقييم مخاطر قائم على IEC 62443, ابحث عن هذه الأنماط المحددة:
الشبكة: حركة المرور الصادرة إلى
91.92.241[.]xxx(نطاق معروف لـ Handala C2).نظام الملفات: وجود
Setup_Security.exeأوUpdate_Patch.exeمع توقيع رقمي فارغ أو مزيف في دليل%TEMP%.سلوكي: تنفيذ جماعي لـ
vssadmin.exe delete shadows /all /quietمتبوعًا بإعادة تمهيد فورية للنظام.
الاستخبارات القابلة للتنفيذ
حظر APIs تيليغرام: إذا كان عملك لا يتطلب تيليغرام للعمل، احظر
api.telegram.orgعلى جدار الحماية. هذا يعطل قناتهم الأساسية لاستخراج البيانات والقيادة والسيطرة.مصادقة متعددة العوامل لكل شيء: يعتمد Handala بشكل كبير على حصاد بيانات الاعتماد من التصيد الاحتيالي الأولي. إذا كان حسابك لا يمتلك مصادقة متعددة العوامل المدعومة بالأجهزة (FIDO2)، فهو باب مفتوح على مصراعيه.
قراءة إضافية
تقرير قابل للتنزيل عن حادثة السيبرانية لـ Stryker
قائمة مراجعة لتقييم المخاطر القائمة على IEC 62443 لـ OT/ICS لقطاع تصنيع الأغذية والمشروبات
قائمة مراجعة تقييم واختيار بائع حلول الفحص الوسائط القابلة للإزالة
احصل على تحديثات أسبوعية
الموارد والأخبار
قد تود أيضًا
From click to crisis: How Nova Scotia Power got breached
Team Shieldworkz
تفكيك دفتر مقاومة هندالة
برايوكت كيه في
تطبيق إطار عمل NIST CSF 2.0 ليتوافق مع IEC 62443: إطار عملي لأمن عمليات التكنولوجيا الصناعية
فريق شيلدوركز
نشر ضوابط الأمن IEC 62443 في أنظمة التحكم الصناعية المتكاملة: دليل التنفيذ العملي
برايوكت كيه في
معالجة تحديات تنفيذ NIS2
فريق شيلدوركز
المناطق الآمنة المعزولة جوياً ومعايير NERC CIP-015: لماذا تقصر تقنيات أمان SCADA التقليدية
فريق شيلدوركز
