Handala: Anatomie des destruktivsten Bedrohungsakteurs Irans
Team Shieldworkz
Primäres Pseudonym
Handala / Handala Hack
Unterstützt von
Iran MOIS (IRGC-angelehnt)
Erste dokumentierte Erscheinung
18. Dezember 2023
Primäres Motiv
Zerstörende / Psychologische Operationen
Aktueller Zustand
Aktiv, Neustrukturierung und Rekrutierung (nach FBI-Beschlagnahme)
Am Morgen des 11. März 2026 schalteten Mitarbeiter in den Büros der Stryker Corporation in 79 Ländern ihre Computer ein und sahen etwas, das sie noch nie zuvor gesehen hatten: einen kleinen, barfüßigen Cartoon-Jungen mit einer Schleuder, der sie vom Anmeldebildschirm anstarrte. Augenblicke später wurden ihre Geräte dunkel. Über 200.000 Systeme wurden aus der Ferne gelöscht.
Es folgte einer der operationell zerstörerischsten Cyberangriffe, die je gegen ein US-amerikanisches Unternehmen ausgeführt wurden - nicht durch eine neuartige, ausgeklügelte Ausnutzung, sondern durch den methodischen Missbrauch von Microsoft Intune, der eigenen Plattform von Stryker zur Geräteverwaltung, bewaffnet durch Angreifer, die Monate lang unbemerkt im Netzwerk waren, bevor sie den Abzug betätigten. Sie können einen detaillierten Beitrag zu diesem Vorfall hier lesen.
Dieser Bericht ist ein forensischer Tiefgang in die Bedrohungsgruppe hinter diesem Angriff. Handala ist kein Graswurzel-Hacktivismus-Kollektiv. Es ist eine sorgfältig konstruierte öffentliche Persona, die von Void Manticore, einer Cyber-Einheit innerhalb des iranischen Ministeriums für Nachrichtendienste und Sicherheit (MOIS) — insbesondere dessen Abteilung für Terrorismusbekämpfung — betrieben wird. Die Liste der Ziele, das operationelle Tempo und die geopolitischen Ereignisse, die seine zerstörerischen Kampagnen auslösen, lassen keinen Raum für Zweideutigkeiten: Dies ist eine staatliche Waffe.
Der strukturelle Wandel
Der Angriff auf Stryker markiert einen strukturellen Wandel in Handalas Betriebsdoktrin. Die Gruppe hat die psychologischen Hacktivismus-Operationen gegen israelische Infrastruktur hinter sich gelassen und greift nun zu hochwirksamen, kinetisch-äquivalenten Angriffen gegen Fortune-500-Unternehmen in den USA. Diese Eskalation steht in direktem Zusammenhang mit den gemeinsamen US-israelischen Militärschlägen gegen den Iran (Operation Epic Fury) am 28. Februar 2026. Sicherheitskräfte, die westliche Unternehmen mit einem Bezug zu Israel, zur US-Verteidigung oder kritischen Infrastrukturen schützen, sollten Handala als aktive, erhöhte Bedrohung betrachten.
200K+GERÄTE GELÖSCHT (STRYKER)
50 TBDATEN ANGBLICH EXFILTRIERT
85+ANGEBLICHE ANGRIFFE (2024–25)
79LÄNDER BETROFFEN
Ursprünge und Identität
Handala, die Persona, leiht sich ihren Namen von einem zehnjährigen barfüßigen Jungen, der im Profil von Karikaturist Naji al-Ali 1969 gezeichnet wurde. Der iranische Nachrichtendienst übernahm dieses Symbol in vollem Umfang: Dasselbe barfüßige Kind erscheint im Telegram-Kanal von Handala, auf den Entstellungen angezeigten Bildschirmen gelöschter Unternehmensgeräte und in den Propagandabildern, die auf zerstörten Laufwerken verstreut sind.
Das Auftreten der Gruppe war nicht zufällig. Handala Hack startete seinen Telegram-Kanal und seinen X/Twitter-Account gleichzeitig am 18. Dezember 2023 — Wochen nach dem Hamas-Angriff auf Israel am 7. Oktober 2023 und der folgenden israelischen Militärkampagne in Gaza. Es positionierte sich innerhalb der Welle pro-palästinensischer Hacktivistenaktivitäten, die darauf folgte, und veröffentlichte anfangs Inhalte, die direkt auf die Hamas Bezug nahmen, bevor es zu breiteren anti-israelischen und zunehmend anti-westlichen Botschaften wechselte.
Die drei Gesichter von Handala
Handala ist eines der vielen operativen Gesichter dieser Gruppe. Die zugrunde liegende Bedrohungsgruppe unterhält mindestens drei öffentlichkeitswirksame Personen, die jeweils auf unterschiedliche Zielgruppen ausgerichtet sind:
Handala Hack
AKA: Handala, Hatef, Hamsa, HandalaTeam
Status: DOMINANT
Primäres öffentliches Gesicht seit Ende 2023. Wird für alle nach Israel und nun auf die USA gerichteten Operationen verwendet. Plattform für Leaks, Propagandazentrale und Anklagekanal. Karma schien der Vorgänger zu sein; Handala hat es vollständig absorbiert.
Karma
AKA: KARMA (historisch)
Status: RUHEND
Operierte parallel zu Handala während der frühen Kampagnen. Lösch-Meldungen trugen manchmal die Karma-Marke, während gestohlene Daten über Handala veröffentlicht wurden. Check Point stellt fest, dass sich die beiden Teams vereinigten; Karma ist seit Mitte 2025 nicht mehr unabhängig aufgetreten.
Homeland Justice
AKA: HomelandJustice (Albanien-Operationen)
Status: AKTIV — Albanien-spezifisch
Seit Mitte 2022 spezifisch für Operationen gegen die albanische Regierung, Telekommunikation und öffentliche Dienste unterhalten. Zusammenarbeit mit einer separaten MOIS-Einheit Scarred Manticore bei albanischen Kampagnen. Operiert weiterhin unabhängig.
Die Beweise für die Konvergenz sind überzeugend: Check Point hat Code-Überschneidungen bei den Wischern dokumentiert, die über alle drei Personas hinweg eingesetzt wurden, gemeinsame C2-Infrastruktur und Vorfälle, bei denen Karma-gebrandete Löschnachrichten in kompromittierten Umgebungen erschienen, während die exfiltrierten Daten über Handalas Kanäle geleakt wurden. Ein Team, drei Gesichter — jedes für ein anderes Publikum und geopolitisches Umfeld kalibriert.
Befehlskette
Das Verständnis darüber, wer Handala kontrolliert, erfordert, unter die öffentliche Hacktivisten-Persona zu blicken, um die darunter liegende MOIS-Organisationsstruktur zu untersuchen. Öffentliche Berichterstattung — einschließlich Untersuchungen des iranischen Journalisten und Forschers Nariman Gharib — hat die Befehlskette mit angemessener Genauigkeit kartiert:
Iranisches Ministerium für Nachrichtendienste und Sicherheit (MOIS)
Wezarat-e Ettela'at va Amniyat-e Keshvar (VEVAK)
MOIS Abteilung für Innere Sicherheit — Terrorismusbekämpfung (CT)
Hauptsponsor und Kontrollstruktur für Void Manticore-Operationen
Seyed Yahya Hosseini Panjaki — Abteilungsleiter US-FINANZMINISTERIUM-GEGENSANKTIONIERT Sep 2024 UK / EU-GEGENSANKTIONIERT FBI-TERRORISMUSBEOBACHTUNGSLISTE
Beamter auf Vizeministerebene. Überwachte die CT-Cybereinheit, die die Handala-Operationen umfasst. Berichten zufolge bei israelischen Angriffen auf iranische Nachrichtenziele Anfang März 2026 getötet.
Bediener
Operative Tastaturarbeiter. Kleines Team; manuelle, RDP-intensive Operationen. Multi-Persona-Management (Handala, Karma, Homeland Justice).
Kriminelle Serviceanbieter (Initial Access Brokers)
Die Gruppe kauft nachweislich ersten Zugang und Werkzeuge von kriminellen Dienstleistungen. Infostealer-Protokollmarktplätze genutzt, um Unternehmensanmeldedaten zu beziehen (bestätigt bei Stryker). Zusammenarbeit mit Scarred Manticore (separate MOIS-Einheit) bei albanischen Operationen.
Anzahl der Partner
Direkt: keine
SecurityWeek bestätigte, dass Seyed Yahya Hosseini Panjaki in der Eröffnungsphase der israelischen Schläge auf iranische Nachrichtendiensteinfrastruktur Anfang März 2026 getötet wurde. Eine zweite namentlich genannte Figur, Mohammad Mehdi Farhadi Ramin — zuvor 2020 von den USA für staatlich gefördertes Hacking angeklagt — wurde ebenfalls angeblich getötet. Der Verlust der Führungsstrukturen der Einheit schafft einen Zeitraum potenzieller operationeller Unterbrechungen, aber historisch gesehen rekonstituieren sich die MOIS-Cybereinheiten innerhalb von Tagen und können als Reaktion auf die wahrgenommene Märtyrerrolle der Führung mit erhöhter Aggression operieren.
BUDGET UND RESSOURCEN
Handala operiert mit einem Budget von 7,7 Millionen US-Dollar pro Jahr. Dieses Geld wird hauptsächlich in folgende Bereiche investiert.
INDIKATOR | EINSCHÄTZUNG |
|---|---|
Werkzeugeinkauf | Kommerzielle Infostealer-Protokolle gekauft auf kriminellen Marktplätzen; keine Hinweise auf teure Zero-Days. Geringe Werkzeugkosten deuten auf Budgetoptmierung hin. |
Infrastruktur | Hauptsächlich kommerzielle VPN-Dienste, Starlink-Satellitenverbindung und kooperierte Opferinfrastruktur. Niedrige Ausgaben für dedizierte Infrastruktur. |
Operatorenanzahl | Geschätztes kleines Team von 10–30 Operatoren für alle Personas unterstützt von einem Team administrativer Enabler. |
Propaganda und Medien | Spezielle Telegram-Kanäle, eine professionelle Webseite (nun vom FBI beschlagnahmt) und eine kuratierte Doxxing-Plattform (RedWanted) weisen auf sinnvolle Investitionen in die psychologische Operationsebene hin. |
Vergleichbare Einheiten | CyberAv3ngers mit IRGC-Verbindung wird auf ein jährliches Budget von 5M–15M $ geschätzt (CSIS). Handala, die auf MOIS basiert und kleiner angelegt ist, operiert wahrscheinlich im Bereich von 2M–8M $ jährlich. |
Operative Geschichte und Kampagnenchronologie
Forscher der Reichman University dokumentierten mindestens 85 angenommene Angriffe zwischen Februar 2024 und Februar 2025 allein. Die Zielerfassung von Handala folgt eng geopolitischen Entwicklungen. Das Folgende stellt die bedeutendsten bestätigten oder mit hoher Sicherheit durchgeführten Operationen dar:
DEZ 2022 — AUG 2023
Homeland Justice — Albanien-Vorgeschichte
Vor Handala führte dasselbe Void Manticore-Infrastruktur zerstörerische Operationen gegen albanische Regierungssysteme unter dem Homeland Justice-Pseudonym durch — gezielte Angriffe auf die National Agency for Information Society der albanischen Regierung, TIMS-Grenzmanagementsystem und Telekommunikationsinfrastruktur. Dies etablierte das Kernspielbuch des Akteurs: VPN-Anmeldediebstahl, zerstörerisches Löschen und Hacken-Leaks für psychologische Wirkung.
18. DEZ 2023
Handala tritt auf — Telegram-Start
Handala und sein X/Twitter-Account starten gleichzeitig Wochen nach dem 7. Oktober 2023. Die anfängliche Kommunikation positioniert sich innerhalb des pro-palästinensischen Hacktivismus-Ökosystems und verweist explizit auf die Hamas. Strategische Deckung etabliert.
ANFANG 2024
Israels Infrastrukturkampagne beginnt — Operation HamsaUpdate
Multi-Ziel-Kampagne, die Hamsa (Linux Wischer) und Hatef (Windows Wischer) gegen israelische Organisationen einsetzt. Phishing-Köder, die in fehlerfreiem Hebräisch F5-Software-Updates nachahmen. Israels nationale Cyberdirektion gibt öffentliche Empfehlungen mit IOC heraus. Militärische Wetterserveransprüche, Sicherheitskamera-Zugriffe in Jerusalem beansprucht. Doxxing von israelischen Geheimdienstoffizieren beginnt.
SEP 2024
Soreq Nuclear Research Center Claim
Handala behauptet, das Soreq Nuclear Research Center verletzt und ungefähr 197 GB vertraulicher nuklearer Projektinformationen exfiltriert zu haben. Israels nationale Cyberdirektion bewertet dies vor allem als psychologische Kriegsführung. Der Anspruch erzeugte weltweite Medienberichterstattung und zeigt, dass Handala unbestätigte Ansprüche als Hauptwaffe behandelt, selbst ohne bestätigten technischen Kompromiss.
SEP 2024
US-Finanzministerium sanktioniert Panjaki
Das US-Finanzministerium designiert Seyed Yahya Hosseini Panjaki. Die EU und das Vereinigte Königreich folgen nach. Das FBI setzt ihn auf die Terrorismusbeobachtungsliste. Die öffentliche Sanktion bestätigt die Bewertung der US-Regierung hinsichtlich der MOIS-Kommandoverantwortung für Handala-Operationen.
FEB 2025
Israels Polizeidaten-Leak
Angebliche Exfiltrierung von 2,1 TB israelischer Polizeidaten, einschließlich Personalakten, Waffenbeständen und psychologischen Profilen von Offizieren. Die israelische Polizei führte es auf einen Kompromiss eines Drittanbieters zurück. Einige veröffentlichte Materialien wurden als veraltet bewertet, wobei ein Muster beibehalten wird, originale exfiltrierte Daten mit verstärkten oder unbestätigten Behauptungen zu mischen.
JAN 2026
Kindergarten PA System-Angriff
Handala kompromittierte die Maagar-Tec-Notfallwarnsysteme, die über 20 israelische Kindergärten bedienen. Luftschutzsirenen wurden aktiviert und bedrohliche arabische Nachrichten an Kinder ausgestrahlt. Eine bewusste Eskalation, die auf den psychologischen Einfluss auf Zivilisten abzielt und die Bereitschaft zeigt, Grenzen zu überschreiten, die staatlich eingeschränkte Akteure normalerweise meiden.
1. MÄRZ 2026
Start der Doxxing-Plattform RedWanted
Handala startet RedWanted, eine dedizierte Doxxing-Seite, auf der Einzelpersonen und Organisationen aufgeführt sind, die nach Ansicht des Teams Israel unterstützt haben. Die kompromittierten persönlichen E-Mails des ehemaligen Mossad-Forschungsdirektors Sima Shine (über 100.000 E-Mails) werden veröffentlicht. Höherrangige israelische Marineoffiziere werden gedoxxt. Die Hebräische Universität Jerusalem wird angegriffen. Die Plattform ist explizit als Belästigungs- und Einschüchterungsinfrastruktur für Einzelpersonen konzipiert, nicht nur für Organisationen.
28. FEB 2026
Operation Epic Fury — Der Auslöser
US-israelische gemeinsame Militärschläge gegen iranische Ziele (Operation Epic Fury) beginnen. Geheimdienstberichte deuten darauf hin, dass Handala vor den Schlägen bereits Zugang zu Stryker und potenziell anderen US-Organisationen hatte — die Schläge verursachten nicht den Zugang, sondern lösten das Ziehen des Abzugs auf voreingestellten Standorten aus.
11. MÄR 2026
STRYKER — Bislang zerstörerischste Operation
Handala löscht über 200.000 Geräte in Systemen der Stryker Corporation in 79 Ländern durch den Missbrauch administrativer Zugriffsrechte auf die Microsoft Intune-Plattform, die über Infostealer geerntete Anmeldedaten erlangt wurden. Stryker bestätigt "schwerwiegende, globale Unterbrechungen" in der SEC 8-K-Meldung. Die Auftragsabwicklung, die Herstellung und der Versand wurden weltweit gestört. Das Handala-Logo ersetzt die Anmeldebildschirme auf betroffenen Geräten weltweit. Gleichzeitig wird ein Angriff auf Verifone beansprucht (nicht von Verifone bestätigt).
20. MÄR 2026
FBI beschlagnahmt Handala-Websites — Domainabschaltung
Das FBI beschlagnahmt handala-hack[.]to und handala-redwanted[.]to unter einem gerichtlich genehmigten DOJ-Durchsuchungsbeschluss. Das DOJ bezeichnet die Plattformen als "psychologische Operationen", die von Irans MOIS betrieben werden. Handala bestätigt dies auf Telegram und kündigt an, dass neue Ersatzinfrastruktur bald verfügbar sein wird — eine Reaktion, die mit früheren Abschaltungen der Kanäle der Gruppe übereinstimmt.
TTPs — Taktiken, Techniken & Verfahren
Handalas Eindringkette ist täuschend einfach. Die Gruppe verlässt sich nicht auf neue Zero-Day-Exploits. Ihre Stärke liegt in der Kombination aus Anmeldedatenmissbrauch, manueller händischer Operation und gleichzeitiger, mehrmethodiger Löschung, die mit Geschwindigkeit ausgeführt wird, sobald der Zugriff hergestellt ist. Dies macht sie vor dem Aufprall schwerer zu erkennen und währenddessen schwerer zu stoppen.
Phase | Technik | Beobachtung |
Aufklärung | Schwachstellenforschung | Sie zielen speziell auf Zimbra und Exchange Schwachstellen ($CVE-2022-27925$, zum Beispiel), um einen ersten Zugang zu erlangen. |
Bewaffnung | Eigene Wischer | Sie verwenden einen eigenen Wischer, der oft als "Sicherheitsupdate" getarnt ist. Er löscht nicht nur Dateien, sondern überschreibt den Master Boot Record (MBR). |
Exfiltration | Telegram Bot API | Anstatt Standard-FTP/S3-Buckets zu verwenden, exfiltrieren sie häufig Metadaten und kleine sensible Chargen über verschlüsselte Telegram-Kanäle, um standardmäßige DLP-Filter zu umgehen. |
Psychologische Operationen | Doxxing & Leaks | Sie veröffentlichen "Proof of Hack"-Videos auf ihrem dedizierten "Handala"-Portal, oft mit UI-Screenshots der internen Admin-Panels der Opfer. |
Die Handala-Angriffskette
Anmeldungserwerb
Kauf von Infostealer-Protokollen auf kriminellen Märkten. Ziel sind IT/MSP-Anbieter für Downstream-Zugriff. Angriff auf VPN-Infrastruktur mit Brute-Force.
Erstzugang über VPN
Kompromittierung des VPN durch gestohlene Anmeldedaten. Ursprung: Kommerzielle VPN-Knoten (169.150.227.X), Starlink-IP-Adressen oder direkte iranische IP-Bereiche (nachlassende OPSEC).
Vorlagerung (Monate)
Zugriff wird Monate vor der zerstörerischen Phase aufrechterhalten. Domänenadministratorkredential erhalten. Zugriff leise validiert und getestet, bevor der Abzug betätigt wird.
Lateralbewegung über RDP
Manuelle RDP-Sitzungen zwischen Systemen. NetBird wird eingesetzt, um interne Hosts, die nicht direkt ausgesetzt sind, zu verbinden. 5+ Angreifersysteme sind gleichzeitig aktiv.
Berechtigungseskalation
Bewaffnung von Admin-Tools
Domänenadministrator- oder Intune-Administratoranmeldeinformationen werden verwendet, um MDM/GPO für massenhafte destruktive Befehle zu bewaffnen.
Gleichzeitige Mehrfach-Wischer-Implementierung
4 verschiedene Löschtechniken, die parallel über GPO laufen. Maximale Auswirkung, minimales Erholungsfenster.
Psychologischer Payload + Leck
Handala-Logo auf Bildschirmen. Propaganda-GIFs auf Laufwerken. Telegram-Anspruch gepostet. Datenleck veröffentlicht für Verstärkung.
Waffenarsenal von Wischern
WERKZEUG / TECHNIK | PLATTFORM | METHODE | UNVERWECHSELBARES MERKMAL |
|---|---|---|---|
Handala Wischer(handala.exe) | Windows | Überschreibt Dateiinhalte; greift MBR an, um die Festplattenstruktur zu beschädigen | Eigene Binärdatei; irreversibel. Benannte Artefakte bleiben auf der Festplatte. |
KI-unterstützter PowerShell-Wischer | Windows | Durchläuft und löscht rekursiv alle Dateien in Benutzerverzeichnissen; überflutet Laufwerke mit | Ausführliche Kommentare im Code deuten auf KI-unterstützte Entwicklung hin (LLM-geschrieben). Über GPO bereitgestellt. |
Hatef Wischer | Windows | Schnelle rekursive Datei-Ebene Zerstörung; überschreibt mit 4096-Byte-Zufallsdatenblöcken | Einzelausführung verhindert mehrere Instanzen. Benannt nach dem persischen "Hatef." Dokumentiert von Intezer / Israel INCD. |
Hamsa Wischer | Linux | Bash-basiert; zielt auf Linux-Server-Dateisysteme | Plattformübergreifende Fähigkeit. Wird zusammen mit Hatef für gemischte Windows/Linux-Umgebungen verwendet. |
VeraCrypt-Missbrauch | Windows | Legitimes Festplattenverschlüsselungstool wird über den eigenen Browser des Opfers per RDP heruntergeladen und dann zum Verschlüsseln von Laufwerken verwendet | Erschwert die forensische Wiederherstellung. Vom offiziellen Standort heruntergeladen – vermeidet Erkennung von bösartiger Binärdatei durch AV. |
Microsoft Intune-Waffnisierung | Cloud MDM | Administratorkennungen werden verwendet, um legitime Remote-Löschbefehle an alle registrierten Endpunkte weltweit zu erteilen | Kein Wischer-Binärdatei eingesetzt. Verwendet die eigene Verwaltungsinfrastruktur der Organisation als Waffe. Umgeht EDR vollständig. Erstmals in diesem Umfang bei Stryker dokumentiert (März 2026). |
NetBird-Implementierung | Windows | Zero-Trust-Mesh-Netzwerkinstrument wird über den Browser des Opfers heruntergeladen; erstellt einen verschlüsselten internen Tunnel | Neue TTP seit 2026. Ermöglicht die Koordination zwischen mehreren Angreiferständen. Legitimes Werkzeug — umgeht netzwerkbasierte Erkennung. |
MITRE ATT&CK MAPPING (V15)
TECHNIQUE ID | TAKTIK | BESCHREIBUNG | BEOBACHTET |
|---|---|---|---|
T1566 / T1598 | Erstzugang | Phishing (Hebräisch-sprachige Köder, die F5 Updates nachahmen) und Phishing für Zugangsdaten | Bestätigt |
T1133 | Erstzugang | Kompromittierte externe VPN-Konten unter Verwendung gestohlener Anmeldedaten | Bestätigt |
T1110 | Anmeldezugriff | Brute-Force-Angriffe auf das VPN-Login; hunderte Anmeldeversuche pro Ziel | Bestätigt |
T1199 | Erstzugang | Lieferkette-Kompromiss durch IT/MSP-Anbieter für Downstream-Opferzugang | Bestätigt |
T1078 | Abwehrumgehung / Persistenz | Gültige Konten durchgehend verwendet; durch Infostealer geerntete Administratoranmeldeinformationen | Bestätigt |
T1021.001 | Lateralbewegung | Remote Desktop Protocol (RDP) zur manuellen lateralen Bewegung zwischen internen Systemen | Bestätigt |
T1572 | Kommando und Kontrolle | NetBird Zero-Trust Mesh VPN, das im Opfernetzwerk eingesetzt wird, um C2-Datenverkehr zu tunneln | Bestätigt |
T1047 | Ausführung | WMI (wmic.exe) für die Remote-Erstellung von Prozessen und Dateivorgängen über AD-Hosts | Bestätigt |
T1484.001 | Abwehrumgehung | Gruppenrichtlinienobjekte werden verwendet, um Wiper zeitgleich auf allen domänenverbundenen Systemen zu verteilen | Bestätigt |
T1490 | Auswirkungen | Behindern der Systemwiederherstellung: MBR-Wischung, VeraCrypt-Laufwerksverschlüsselung und über GPO-deployed Wiper | Bestätigt |
T1485 | Auswirkungen | Datenvernichtung mittels eigenem Handala-Wischer, Hatef, Hamsa und PowerShell-Wischer | Bestätigt |
T1491 | Auswirkungen | Webseiten und Geräteentstellung; Handala-Logo auf kompromittierten Anmeldebildschirmen angezeigt | Bestätigt |
T1048 | Exfiltration | Exfiltration über alternative Protokolle; Daten werden vor der zerstörerischen Phase inszeniert und exfiltriert | Behauptet |
T1057 / T1046 | Erkundung | Prozess- und Netzwerkdienstentdeckung als Teil der manuellen Rekonstruktion innerhalb der Opferumgebung | Hohes Vertrauen |
Indikatoren der Kompromittierung (IOCs)
ANALYSTENHINWEIS ZUR IOC-VERLÄSSLICHKEIT
Die Gruppe operiert hauptsächlich über manuelle, händische Aktivitäten. Ihre Infrastruktur ist flüchtig: kommerzielle VPN-Knotenpunkte, legitime Tools und Opfer-kontrollierte Systeme. Die folgenden IOCs haben eine kurze Lebensdauer zum Blockieren, sind aber wertvoll für Jagd und Korrelation. Domains und IP-Infrastruktur sollten für Bedrohungsanalysen gegen historische Protokolle verwendet werden anstatt isoliertes Blockieren des Perimeters. Keine von Opfern validierten forensischen IOCs vom Stryker-Einbruch sind zum Zeitpunkt dieses Schreibens öffentlich veröffentlicht worden.
INFRASTRUKTUR — DOMÄNEN (ENTSCHÄRFT)
Leak-Site (beschlagnahmt) handala-hack[.]to
Doxx-Plattform (beschlagnahmt) handala-redwanted[.]to
Telegram-Kanal t[.]me/handala9 (Hauptkanal des Akteurs; nur überwachen)
INFRASTRUKTUR — IP-BEREICHE (ENTSCHÄRFT)
VPN Egress (Primär) 169[.]150[.]227[.]X — kommerzieller VPN-Bereich
VPN Egress (Sekundär) 149[.]88[.]26[.]X — kommerzieller VPN-Bereich
Starlink (nach Januar 2026) 188[.]92[.]255[.]X — Starlink-IP-Bereich
Starlink (nach Januar 2026) 209[.]198[.]131[.]X — Starlink-IP-Bereich
Israelischer VPN-Knoten 146[.]185[.]219[.]235 — bewerteter VPN-Dienstknoten, gelegentlich verwendet
Anbieter-Zitierte C2-Kandidaten 31[.]57[.]35[.]223 — exponierte Windows RPC/SMB (Shodan bestätigt)
Anbieter-Zitierte C2-Kandidaten 82[.]25[.]35[.]25 — exponierte Windows RPC/SMB (Shodan bestätigt)
MALWARE — DATEI-HASHES (SHA-256 WENN VERFÜGBAR)
Hatef Wiper (Variante) ca9bf13897af109cb354f2629c10803966eb757ee4b2e468abc04e7681d0d74a
Rhadamanthys Infostealer Bereitgestellt über F5-Themen-Phishing-Köder; zahlreiche Varianten — Suche VirusTotal nach Familie
VERHALTENS- / HOST-INDS-MERKMALE
Wischer-Artefakt handala.gif nach Ausführung des Wischers auf logische Laufwerke abgesetzt
Wischer-Artefakt handala.exe — benutzerdefinierte Wischer-Binärdatei in temp/system32-Pfade
NetBird-Implementierung netbird.exe heruntergeladen über Browser von netbird[.]io auf nicht-standardmäßige Pfade
VeraCrypt-Missbrauch veracrypt[.]fr Download über den Browser des Opfers während einer RDP-Sitzung; Massenlaufwerksverschlüsselung
Angreifer-Host-Muster Standard-Windows-Hostnamen: DESKTOP-XXXXXX oder WIN-XXXXXXXX verbinden mit VPN/RDP
GPO-Verteilung Neue Skripte und geplante Aufgaben zum GPO-Anmelden, die ausführbare Dateien gleichzeitig an alle Domänenhosts verteilen
Aktueller Stand
Zum Zeitpunkt dieses Berichts befindet sich Handala im Zustand einer aktiven Störung, jedoch ohne operationellen Stillstand. Die Beschlagnahme der Webseite durch das FBI am 20. März 2026 hat die primäre öffentliche Leak- und Propagandainfrastruktur der Gruppe entfernt. Die bestätigte Tötung von Seyed Yahya Hosseini Panjaki — des MOIS-Beamten, der die Void Manticore-Einheit überwachte — stellt eine signifikante Führungskette dar, ohne Präzedenzfall in der Geschichte dieses Akteurs.
Jedoch deuten mehrere Faktoren auf eine schnelle Reorganisation hin:
Handalas sofortige Telegram-Antwort auf die FBI-Beschlagnahme kündigte an, dass neue Ersatzinfrastruktur bald verfügbar sein wird — konsistent mit ihrer Reaktion auf frühere Plattformabschaltungen.
Die Gruppe erweitert weiterhin ihren Zielbereich und beansprucht Angriffe auf israelische Geheimdienstoffiziere und die Hebräische Universität selbst unter dem Druck nach Stryker.
MOIS-Cybereinheiten operieren mit institutioneller Kontinuität über individuelle Führungsstrukturen hinaus. Ersatzaufsicht ist wahrscheinlich im Gange.
Der Sicherheitsrückgang in der Operation (direkte iranische IP-Verbindungen, Starlink-Nutzung) geht dem aktuellen Störungszustand voraus und könnte Kriegs-Internetbeschränkungen im Iran widerspiegeln, anstelle von operationaler Schlampigkeit, die nach der Wiederherstellung anhalten würde.
Bedrohungsbewertungsstufe
ERHÖHT. Die Kombination aus geopolitischer Eskalation (aktiver US-Iran-Israel militärischer Konflikt), nachgewiesener Bereitschaft, US-Unternehmen anzugreifen, Pre-Positioning-Handwerkskunst (Zugriff wurde Monate vor der Aktivierung hergestellt) und schneller Reorganisationsfähigkeit der Infrastruktur bedeutet, dass Sicherheitsteams die FBI-Beschlagnahme nicht als Auflösung behandeln sollten. Handala hat dies als "ein neues Kapitel im Cyberkrieg" deklariert. Zum Zeitpunkt dieses Berichts befindet sich die Gruppe im Wiederaufbau und es wird angenommen, dass sie wahrscheinlich innerhalb von 30 bis 60 Tagen weitere Operationen gegen US-amerikanische und westlbasierte Ziele ausführen wird.
Potenzielle zukünftige Ziele
Die Zielauswahl von Handala folgt einer klaren geopolitischen Logik: Organisationen mit direkten oder vertraglichen Beziehungen zum US- oder israelischen Militär, Geheimdiensten oder kritischen wirtschaftlichen Infrastrukturen. Die IRGC veröffentlichte separat eine Liste von US-Technologieunternehmen — einschließlich Google — als Ziele, was auf eine breitere iranische Cyberabsicht während der aktuellen Eskalationsperiode hindeutet.
P1: Hoch
US-Verteidigungs- und Dual-Use-Technologie-Unternehmen
Stryker wurde aufgrund seines 450-Millionen-Dollar-Vertrags für medizinische Geräte mit dem Verteidigungsministerium der USA ausgewählt. Eine ähnliche Logik ist bei Luftfahrt-, Logistik-, Kommunikations- und Cybersicherheitsunternehmen mit Beziehungen zu DoD/DoD-Auftragnehmern zu erwarten.
P 1 — HOCH
Hersteller von Gesundheits- und Medizinprodukten
Die Störung von Stryker betraf die Lieferketten für Krankenhäuser weltweit. Das Gesundheitswesen ist ein weiches Ziel mit hohem Einfluss: maximale zivilgesellschaftliche Störung, hohe Medienpräsenz, niedrige OT-Sicherheitsreife.
P 2 — ERHÖHT
Finanzdienstleistungen und Zahlungsinfrastruktur
Die IRGC hat ausdrücklich Banken und wirtschaftliche Zentren als legitime Ziele bezeichnet. Handalas gleichzeitig Behauptung der Verifone-Ansprüche (neben Stryker) signalisiert die Absicht zur Angabe der Zahlungsinfrastruktur. Disruptives Potenzial mit hohem Wert.
PRIORITÄT 2 — ERHÖHT
Kritische nationale Infrastrukturen (Energie, Wasser, Telekom)
IRGC/Homeland Justice-Präzedenzfall in Albanien. ICS/SCADA-Umgebungen mit schlechter IT/OT-Segmentierung sind Prime-Ziele für maximale operative Störung. CyberAv3ngers (separate IRGC-Einheit) zielt bereits auf Wasserwirtschaften.
PRIORITÄT 2 — ERHÖHT
IT Managed Service Providers
MSPs sind keine Endziele - sie sind Zugangskanäle. Handala zielt systematisch auf IT- und Dienstleistungsanbieter ab, um Anmeldedaten von Downstream-Opfern zu gewinnen. Jeder MSP, der die oben genannten Sektoren bedient, befindet sich im erhöhten Risiko, als Zugangspipeline verwendet zu werden.
PRIORITÄT 3 — MÄßIG
Wirtschaftliche Ziele der Golfstaaten
Handala hat behauptet, Angriffe gegen Energieunternehmen in den VAE und Saudi-Arabien durchgeführt zu haben (1,3 TB Exfiltration beantragt). Die Normalisierung der Beziehungen der Golfstaaten mit Israel (Abraham-Abkommen) macht Organisationen im Zusammenhang mit Golf-Israel zu logischen Erweiterungszielen.
Verteidigungsempfehlungen
Die wichtigste Lektion des Stryker-Angriffs für Verteidiger ist die Weaponisierung von Administrationsinfrastruktur — Microsoft Intune als Plattform zur Massenlöschung genutzt. Traditionelle Endpunkt-Erkennung und Reaktionsinstrumente generieren keine Telemetrie für einen legitimen Remote-Löschbefehl, der von einer autorisierten Admin-Konsole ausgegeben wurde. Die Verteidigung gegen Handala erfordert eine identitätszentrierte Architektur und MDM-Governance.
PRIORITÄT | KONTROLLE | RATIONALE VON HANDALA TTPS |
|---|---|---|
KRITISCH | Phishing-resistente MFA (FIDO2) auf allen Intune-, Azure AD- und MDM-Administrationskonten | Infostealer-erfasste Anmeldedaten waren das Eintrittsvektor für Stryker. Phishing-resistente MFA beseitigt die Möglichkeit von Anmeldereplays vollständig. |
KRITISCH | Überwachen und Alarmieren bei allen Intune Remote-Wipe-Befehlen; Einführung eines Genehmigungsworkflows für Massenaktionen auf Geräten | Mehr als 200.000 Geräte wurden über legitime Intune-Administrationsbefehle gelöscht. Kein Alarm ausgelöst. Massen-Remote-Löschungen müssen eine auswärtige Genehmigung erfordern. |
KRITISCH | Blockieren und Alarmieren von Verbindungen von Starlink-IP-Bereichen, iranischen IP-Bereichen und kommerziellen VPN-Bereichen zu VPN/RDP | Handalas Egress-Infrastruktur ist dokumentiert. Standort- und ASN-basierte Kontrollen am VPN-Perimeter sind hoch wirksam. |
HOCH | Überwachung auf NetBird.exe– und VeraCrypt-Downloads von legitimen Seiten über Browser auf verwalteten Endpunkten | Handala lädt beide Werkzeuge über RDP interaktiv über den Browser des Opfers herunter. Kontextbewusster DLP kennzeichnet den ungewöhnlichen Download von Zero-Trust-Netzwerktools. |
HOCH | Überwachung der Infostealer-Anmeldedaten — Abonnieren des Handelsmonitorings im Darknet für Unternehmensanmeldedaten | Strykers Administratoranmeldeinformationen wurden Monate vor dem Angriff in Infostealer-Protokollen erfasst. Pflichtrotation alle 4 Stunden nach Erkennung der Sicherheit. |
HOCH | Einschränkung der Erstellungs- und Änderungsrechte für GPO; Alarmieren bei neuen GPO-Anmeldeskripten und geplanten Aufgaben | Handala verteilt Wischer über GPO über die Domäne. Eine neue GPO-Erstellung durch nicht zur Basislinie gehörende Konten ist ein hoch zuverlässiges Erkennungszeichen. |
HOCH | Suche nach Standard-Windows-Hostnamen (DESKTOP-XXXXXX, WIN-XXXXXXX), die in VPN/RDP-Protokollen von externen IP-Adressen erscheinen | Handala-Betreiber verbinden sich systematisch von Standard-Hostname-Windows-Maschinen aus - ein hoch zuverlässiges Verhaltensmuster in Authentifizierungsprotokollen. |
MÄßIG | Unveränderliche, luftgetrennte Backups für alle Systeme; monatliche Testwiederherstellungen der MDM-Konfiguration | Wisch-Angriffe sind nur katastrophal, wenn es kein sauberes Backup gibt. Offline, unveränderliches Backup ist die letzte Verteidigungslinie gegen zerstörerische Kampagnen. |
Erkennungstipps
Handala etabliert Zugang Monate vor der destruktiven Phase. Dies ist das Erkennungsfenster. Suchen Sie in Ihren historischen Protokollen, die 90–180 Tage zurückreichen, nach abweichenden VPN-Anmeldungen von ausländischen ASNs, ungewöhnlichen RDP-Quellen-Ziel-Paaren und privilegierten Kontoaktivitäten während der Ruhezeiten. Wenn Handala in Ihrer Umgebung vorpositioniert ist, sind die Spuren vorhanden. Die Frage ist, ob Ihre Erkennungsarchitektur instrumentiert ist, um sie zu finden, bevor der Wischer abschießt.
Wenn Sie Ihr Umfeld überwachen oder sich im Mitte einer auf IEC 62443 basierenden Risikoanalyse befinden, suchen Sie nach diesen spezifischen Anomalien:
Netzwerk: Abgehender Datenverkehr zu
91.92.241[.]xxx(bekannter Handala C2-Bereich).Dateisystem: Vorhandensein von
Setup_Security.exeoderUpdate_Patch.exemit null oder gefälschter digitaler Signatur im%TEMP%-Verzeichnis.Verhaltensweise: Massenhafte Ausführung von
vssadmin.exe delete shadows /all /quietgefolgt von einem sofortigen Systemneustart.
Verwertbare Geheimdiensterkenntnisse
Blockieren der Telegram-APIs: Wenn Ihr Unternehmen Telegram für den Geschäftsbetrieb nicht benötigt, blockieren Sie
api.telegram.organ der Firewall. Dies unterbricht ihren primären Exfiltrations- und C2-Kanal.MFA für alles: Handala verlässt sich stark auf das Sammeln von Anmeldedaten aus initialen Phishing-Angriffen. Wenn ein Konto keine hardwaregestützte MFA (FIDO2) hat, steht die Tür weit offen.
Weitere Lektüre
Ein herunterladbarer Bericht zum Cybervorfall bei Stryker
IEC 62443-basierte OT/ICS-Risikoanalyse-Checkliste für den Lebensmittel- und Getränkesektor
Lösungsanbieter für Scanning von Wechseldatenträgern: Evaluierungs- und Auswahlcheckliste
Wöchentlich erhalten
Ressourcen & Nachrichten
Dies könnte Ihnen auch gefallen.
From click to crisis: How Nova Scotia Power got breached
Team Shieldworkz
Entpacken Sie Handalas Resilienz-Leitfaden
Prayukth K V
Übertragung des NIST CSF 2.0 auf IEC 62443: Ein praktisches Rahmenwerk für die industrielle OT-Sicherheit
Team Shieldworkz
Bereitstellung von IEC 62443 Sicherheitsmaßnahmen in IACS: Ein praktischer Implementierungsleitfaden
Prayukth K V
Bewältigung der Herausforderungen bei der Umsetzung von NIS2
Team Shieldworkz
Air-Gapped SCIFs und NERC CIP-015: Warum die traditionelle SCADA-Sicherheit nicht ausreicht
Team Shieldworkz
