في عالم معلومات تهديدات الإنترنت (CTI)، نتحدث عادةً عن "الاستمرار" باعتباره حالة تقنية. قد يعني ذلك وجود مفتاح سجل هنا، أو مهمة مجدولة هناك أو حتى حمولة تتربص في أعماق جهاز أو شبكة منسية ولكن متصلة. لكن ما نشهده مع الكيان المرتبط بإيران Handala (تم تتبعه تحت اسم Void Manticore أو Storm-0842) هو شيء أكثر أصالة: المرونة التشغيلية.

على الرغم من الهجمات العسكرية الجسيمة في أوائل مارس 2026 (عملية غضب ملحمة) التي سوت مقرات القيادة الإلكترونية للحرس الثوري الإيراني بالأرض وأطاحت بشخصيات قيادية رئيسية، بما في ذلك نائب الوزير سيد يحيى حسيني بانجاكي، لم تشعر Handala فقط بوجودها بل صعدت من وتيرة الأفعال. إن عملية مسح أكثر من 200,000 جهاز في شركة سترايكر عبر 79 دولة تعتبر أساساً درساً في كيفية أن الضربة من قبل فاعل "مقموع" تأتي عندما لا يتوقعها أحد.

فكيف تعود مجموعة ما إلى العمل عندما يكون عالمها المادي مشتعلًا حرفياً؟ إليك تحليل لكتاب قواعد المرونة لـ Handala الذي يقدم بعض الإجابات. التحليل هو بشكل أساسي صورة مبنية على البيانات والأدلة لما شهدناه في الأسابيع القليلة الماضية.

قبل أن ننتقل إلى الأمام، لا تنسى مراجعة مدونتنا السابقة حول الموضوع: "تحليل خرائط NIST CSF 2.0 إلى IEC 62443: إطار عملي لأمن OT الصناعي" هنا.

استراتيجية "المشغل المتواجد مسبقًا"

إحدى أكثر الإدراكات صدمة من حادثة سترايكر هي أن الهجمات على إيران لم تتسبب فعليًا في الهجوم الإلكتروني؛ بل هي ببساطة سحبت الزناد.

تعتمد مرونة Handala على ما يمكن تسميته بـ "استراتيجية الفتيل الطويل" والتي تُعرف بـ:

• نقاط الثبات الخاملة: تشير الاستخبارات إلى أنهم قد قاموا بإقامة وصول إداري قبل أسابيع، إن لم يكن شهورًا. كانوا يعلمون أنه سيكون عليهم إبراز دليل الوصول والانقطاع أثناء الحرب.

• تسليح الهوية: بدلاً من الاعتماد فقط على البنية التحتية المحلية الضعيفة، ينتقلون إلى السحابة الخاصة بالضحية. ومن خلال استغلال Microsoft Intune وEntra ID، حولوا أدوات إدارة الضحية نفسها إلى ممسحة موزعة ضخمة. كانت التأثيرات كارثية ولم يُبلغ Handala عن أي فدية أو مفاوضات. انتقلوا للتعاون مع مجموعات APT روسية للهجوم على منشأة نووية في بولندا.

• العبرة: يمكنك قصف غرفة السيرفر في طهران، لكن لا يمكنك "قصف" بيانات اعتماد المسؤول العالمي المخترقة في Azure السحابة.

• وفقًا لأبحاث Shieldworkz، يعمل Handala مع APT 35 وهو فاعل تهديد آخر من إيران متخصص في التواجد المسبق. لذا فإن التعاون موجود داخل إيران وخارج حدودها أيضًا.

التجاهل للبنية التحتية (التوجه نحو ستارلينك)

عندما قام النظام الإيراني بخنق اتصال الإنترنت إلى 1-4% لمنع التتبع الوارد أثناء النزاع، قام Handala ببساطة بتغيير "المصدر".

تشير أبحاث Shieldworkz إلى انتقال سريع إلى اتصال بالأقمار الصناعية Starlink وعقد VPN التجاري (ظهرت العديد من عناوين IP الخاصة بـ Starlink على قائمة العناوين المرتبطة بـ Handala). من خلال فك ارتباط عملياتهم من البنية التحتية لمزود خدمة الإنترنت الوطني، أنشأوا بيئة تشغيل "عابرة للحدود" أزالت كل تبعية تقنية. إنهم ليسوا فقط "هاكرز إيرانيين"؛ بل هم عملية خلوية موزعة تتماشى مع المصالح الإيرانية.

هذا يعكس أعمال القوات المسلحة الإيرانية التي يُقال إنها تعمل على نموذج فسيفساء لا مركزي. هذه الفسيفساء بقيادة قائد إقليمي لديه أوامر بالضرب عند حدوث انقطاع القيادة المركزية. 

مبدأ "تعطيل + تسريب ثم تضخيم"

أتقنت Handala فن الصدمة المعلوماتية. يتبع كتاب قواعدهم دورة صارمة وعالية الوتيرة:

• هجوم فني: نشر ممحي البيانات (مثل Variants Hatef أو Hamsa).

• اختطاف السرد: في غضون ساعات، يتم زيادة الصور والشائعات (مثل "50 تيرابايت مسروقة") عبر Telegram وX.

• التأثير النفسي: من خلال استهداف قطاعات حساسة مثل الأجهزة الطبية أو نظام تنبيه رياض الأطفال، يضمنون أن "الخوف" يبقى بعد التعافي الفني.

كتاب القواعد المحتملة: مخطط لـ "APT الحديثة"

إذا قمنا بتوجيه كتاب قواعد "Handala" الذي قد يكون غيره من جهات APT (التهديد المتقدم المستمر) يدرسونه الآن، فسوف يبدو هكذا:

المرحلة I: نموذج "التسليم"