Heute früher veröffentlichte Iran International eine exklusive Meldung mit der Behauptung, dass das Korps der Islamischen Revolutionsgarden (IRGC) faktisch einen weichen Putsch in Teheran durchgeführt hat. Es hat damit begonnen, präsidiale Ernennungen zu blockieren, einen Sicherheitskordon um den Obersten Führer Mojtaba Khamenei zu errichten und einen Militärrat aus IRGC-Offizieren als de-facto-exekutive Autorität des iranischen Staates einzusetzen.

Für politische Analysten ist dies eine Geschichte über die Militarisierung einer Theokratie unter dem Dach eines andauernden Krieges. Für Fachleute der Cyber Threat Intelligence könnte dieses Ereignis jedoch den Beginn einer völlig neuen Serie von Bedrohungen und Risiken im Cyberraum markieren. Die Ereignisse vor Ort werfen bereits ihren Schatten voraus, und mit dieser mutmaßlichen Machtübernahme wird einer der bekanntesten Arme des IRGC nun mehr Freiheit und Ressourcen erhalten, um seine Agenda umzusetzen.

Die Entität, die uns hier beschäftigt, ist Handala. Wer unsere Threat-Intelligence-Advisories verfolgt, kennt diesen Threat Actor sehr gut. Die Machtkonsolidierung des IRGC beseitigt einen der letzten verbliebenen Reibungspunkte, die Handalas Operationstempo selbst nur lose begrenzten. Die Gruppe wird definitiv nicht leiser werden.

Bevor wir fortfahren, sehen Sie sich unbedingt unseren vorherigen Blog zum Thema Ein Leitfaden für CTI-Führungskräfte zum Aufbau einer APT-Sandbox hier an.

Wer ist Handala?  

Bevor wir erläutern können, warum die Machtübernahme des IRGC relevant ist, müssen wir präzise sein, was Handala tatsächlich ist. Die mit der Gruppe häufig verbundene Bezeichnung „Hacktivist“ schmeichelt ihr und führt Verteidiger in die Irre.

Handala ist kein Grassroots-Kollektiv. Es handelt sich um eine sorgfältig aufgebaute, öffentlich sichtbare Persona, betrieben von „Void Manticore“, auch erfasst als Banished Kitten, Storm-0842 und Red Sandstorm. Es ist eine Cyber-Einheit innerhalb des iranischen Ministeriums für Nachrichtendienste und Sicherheit (MOIS) (konkret dessen **Counter-Terrorism (CT) Division). Die Befehlskette, dokumentiert durch Open-Source-Reporting, Shieldworkz-Forschung und Sanktionen des U.S. Treasury, führt zu einer namentlich bekannten Person: „Seyed Yahya Hosseini Panjaki“, ein Beamter auf Vizeministerebene, der im September 2024 vom U.S. Treasury sanktioniert wurde, weil er iranische Operationen zur Ermordung von Dissidenten beaufsichtigte — und der anschließend Berichten zufolge Anfang März 2026 bei israelischen Schlägen auf das MOIS-Hauptquartier getötet wurde.

Handala unterhält mindestens drei öffentlich sichtbare operative Personas: „Handala Hack“ (die primäre, dominierende Persona seit Ende 2023, mit Fokus auf Israel und nun die Vereinigten Staaten), „Karma“ (eine Vorgängeridentität, die inaktiv geworden ist) und „Homeland Justice“ (die Persona, die bei den destruktiven Angriffen 2022 auf die albanische Regierungsinfrastruktur genutzt wurde, einschließlich des TIMS-Grenzverwaltungssystems und nationaler Telekommunikationsnetze). Dies sind nicht drei separate Gruppen, sondern drei Masken desselben operativen Teams.  

Die Gruppe hat historisch Initial Access von kriminellen Untergrunddiensten eingekauft — eine bewusste Entscheidung, die operative Trennung wahrt und plausible Abstreitbarkeit ermöglicht. Es ist eine staatliche Cyber-Einheit, die im Darknet einkauft. Das sagt alles über das Umfeld, in dem sie operiert. Handalas Playbooks verändern sich, und die Gruppe beteiligt sich inzwischen auch an direkten Angriffen und False-Flag-Angriffen gemeinsam mit russischen Threat Actors. Diese Gruppe hat mehrere Evolutionszyklen durchlaufen, ihre Reputationsaufbauphase hinter sich gelassen und tritt nun in einen destruktiveren Zyklus ein.

Alte Handala vs. neue Handala

Für das operative Lagebild: Dies ist kein Randakteur

Handalas dokumentierte Angriffshistorie entspricht nicht dem Bild einer unbeholfenen, wenig ausgereiften Hacktivistengruppe. Die Threat-Researcher von Shieldworkz haben IOCs zu dieser Gruppe in 35 verschiedenen Honeypot-Umgebungen weltweit zwischen Januar und Februar 2026 dokumentiert, als die Gruppe aktiv ihre Payloads in Umgebungen mit Bezug zu Schlüsselzielen in 14 Ländern vorpositionierte.

Zusätzlich stellen die folgenden Punkte verifizierte Operationen mit hoher Sicherheit dar:

Wiper-Angriffe auf israelische zivile und staatliche Infrastruktur. Handala hat mehrere gleichzeitige Wiping-Methoden — eigens entwickelt und öffentlich verfügbar — gegen israelische Ziele eingesetzt, häufig in Kombination mit Hack-and-Leak-Operationen zur Maximierung psychologischen Drucks. Check Point Research dokumentierte 2026 neu beobachtete TTPs, darunter den Einsatz von **NetBird** zur Tunneling-Verbindung in Opfnetzwerke sowie die Nutzung eines KI-gestützten PowerShell-Skripts zur Automatisierung von Wiping-Aktivitäten. Das ist kein unausgereifter Akteur.

Der Stryker-Angriff, März 2026.
Handala reklamierte die Verantwortung für einen destruktiven Malware-Angriff auf Stryker, ein in Michigan ansässiges US-Medizintechnologieunternehmen der Fortune 500. Die Angreifer scheinen Zugriff auf Strykers Active-Directory-Infrastruktur erlangt zu haben — der genaue Zeitpunkt ist unklar, was auf Vorpositionierung hindeutet — und nutzten die Endpoint-Management-Funktion von Microsoft Intune, um Geräte und Server im globalen Unternehmensverbund aus der Ferne zu löschen. Das Unternehmen arbeitete Wochen später noch an der vollständigen Wiederherstellung der Produktionskapazität. Dies war eine strukturelle Eskalation: Handala wechselte von israelischen Infrastrukturzielen zu einem US-Fortune-500-Unternehmen mit direkter destruktiver Wirkung.

Kompromittierung des privaten E-Mail-Kontos von FBI-Direktor Kash Patel.
Handala gab an, Patels privates E-Mail-Konto kompromittiert zu haben. Das FBI bestätigte die Zielauswahl. Die abgegriffenen Daten wurden als „historischer Natur“ beschrieben — doch die Zielauswahl der persönlichen Kommunikation des amtierenden FBI-Direktors ist eine bewusste Provokation, kalkuliert, um Reichweite zu demonstrieren und Reputationsschäden zu verursachen. 

Doxxing von Lockheed-Martin-Ingenieuren.
Die Gruppe versandte unaufgeforderte SMS-Nachrichten mit personenbezogenen Daten an in Israel ansässige Lockheed-Martin-Ingenieure und drohte ihnen, das Land innerhalb von 48 Stunden zu verlassen — eine physische Einschüchterungsoperation, ermöglicht durch einen Cyberangriff. Die Grenze zwischen Cyberoperationen und Drohungen physischer Gewalt verwischt Handala bewusst.

Jordaniens Kraftstoffsysteme und ein israelisches Energie-Explorationsunternehmen.
Handala beanspruchte die Kompromittierung von Jordaniens Kraftstoffinfrastruktur sowie eines israelischen Energie-Explorationsunternehmens — beides im Kontext des umfassenderen Electronic Operations Room, der am 28. Februar 2026 unmittelbar nach Operation Epic Fury, den gemeinsamen US-israelischen Militärschlägen gegen Iran, eingerichtet wurde.

Das U.S. Department of Justice beschlagnahmte am 19. März 2026 vier mit Handala verknüpfte Domains — handala-hack[.]to, handala-redwanted[.]to,justicehomeland[.]org und karmabelow80[.]org. Die Reaktion der Gruppe war, den Betrieb fortzusetzen. Zudem wechselt die Gruppe ihre Telegram-Kanäle häufig.

Der Wendepunkt: IRGC-Konsolidierung und was sie zerstört

Handala ist ein MOIS-Asset, und das MOIS ist Irans ziviles Nachrichtendienstministerium — der Inlands- und Auslandsnachrichtendienstapparat, der nominell unter ziviler Regierungsaufsicht arbeitet, getrennt von den militärischen Nachrichtendienststrukturen des IRGC. Die IranIntl-Exklusivmeldung vom 1. April 2026 dokumentiert, dass das IRGC nun Folgendes getan hat:

- Führungsbesetzungen im MOIS blockiert.
Der Versuch von Präsident Pezeshkian, einen neuen Geheimdienstminister zu ernennen, wurde persönlich vom IRGC-Oberbefehlshaber Ahmad Vahidi per Veto gestoppt, der erklärte, dass „alle kritischen und sensiblen Führungspositionen bis auf Weiteres direkt vom IRGC ausgewählt und geführt werden müssen.“

- Einen Militärrat über die staatliche Entscheidungsfindung gesetzt.
Ein Rat aus hochrangigen IRGC-Offizieren übt nun exekutive Autorität aus; ein Sicherheitskordon verhindert, dass Regierungsberichte den inneren Kreis des Obersten Führers erreichen.

- Die MOIS-Befehlsautorität faktisch absorbiert.
Da der mutmaßliche Handala-Führer auf MOIS-Vizeministerebene (Panjaki) getötet wurde und MOIS-Führungsbesetzungen nun vom IRGC blockiert werden, wurde die organisatorische Linie ziviler Rechenschaft, die von Handalas Operateuren über das MOIS nach oben verlief, getrennt oder untergeordnet.

Das ist aus fünf spezifischen, klar abgegrenzten Gründen relevant:

Der Tod von Panjaki war nicht das Ende von Handala — und die IRGC-Übernahme macht eine Re-Konstitution deutlich gefährlicher.

Als Panjaki Anfang März 2026 getötet wurde, bewerteten erste Analysen in der Sicherheits-Community, dass dies die operative Kontinuität Handalas stören könnte. Die Evidenz zeigt das Gegenteil. Die Gruppe operierte weiter — der Stryker-Angriff, die Patel-Kompromittierung, das Lockheed-Martin-Doxxing erfolgten alle nach Panjakis gemeldetem Tod. Das zeigte, dass Handala ein Maß an **operativer Dezentralisierung** erreicht hatte, das die Gruppe gegen Führungsausfall resilient machte.

Betrachten Sie nun, was passiert, wenn das IRGC, das über einen eigenen Cyber-Arm verfügt (IRGC Cyber-Electronic Command, IRGC-CEC), die Kontrolle über den staatlichen Sicherheitsapparat übernimmt. Das IRGC-CEC hat historisch staatlich gesteuerte ICS/OT-Targeting-Operationen durchgeführt — ein anderes und in vieler Hinsicht technisch anspruchsvolleres Angriffsprofil als die psychologischen und destruktiven Operationen, die MOIS/Handala charakterisieren. Die Konvergenz dieser beiden Traditionen unter einer einheitlichen IRGC-Kommandostruktur schafft die Voraussetzungen für **Cross-Pollination von Fähigkeiten**: IRGC-Targeting-Intelligence und OT-Expertise fließen in Handala-artige destruktive und Hack-and-Leak-Operationen ein.

2. Zivile Aufsicht — so gering sie auch war — wurde entfernt 

Die MOIS-Aufsicht über Handala als robust zu bezeichnen, wäre großzügig. Aber zivile Bürokratien, selbst autoritäre, setzen gewisse Grenzen: Risikokalkulationen, Sorge um Attribution, diplomatische Exponierung. Das IRGC ist eine militärische Organisation in einem aktiven Krieg. Es operiert nicht nach derselben Logik. Wenn IRGC-Offiziere zivile Geheimdienstminister in der Genehmigungskette für offensive Cyberoperationen ersetzen, sinkt die Schwelle zur Autorisierung eines destruktiven Angriffs auf ein US-Unternehmen, einen europäischen KRITIS-Betreiber oder ein Energiesystem eines Golfstaates. Die bürokratische Reibung, die den operativen Umfang selbst nur geringfügig begrenzte, ist verschwunden.

3. Das operative Kriegsmandat erweitert die zulässige Zielmenge.

Das IRGC hat erklärt, sich in einer Kriegsposition zu befinden. In diesem Rahmen sind Cyberangriffe auf gegnerische Infrastruktur keine Provokationen — sie sind kräfteverstärkende Instrumente der Kriegsführung. Der eigene Electronic Operations Room der Gruppe, eingerichtet am 28. Februar 2026, rahmte Cyberoperationen ausdrücklich als Kriegsschauplatz des kinetischen Konflikts. Unter IRGC-Kommandobefugnis wird dieses Framing zur Doktrin. Entitäten, die zuvor als diplomatisch sensible Ziele gegolten hätten — Finanzinfrastruktur der Golfstaaten, europäische Energieunternehmen, US-Telekommunikationsunternehmen — werden in der Kriegslogik des IRGC zu legitimen Zielen.

4. Handala hat bereits gezeigt, dass es unter degradierter Konnektivität und Kommandostörungen operieren kann.

Shieldworkz Research dokumentierte einen kritischen und unterschätzten Befund. Nach dem landesweiten Internet-Shutdown im Iran im Januar 2026 führte Handala weiterhin Brute-Force- und Login-Versuche gegen organisatorische VPN-Infrastruktur durch und pivotierte auf Starlink-IP-Bereiche, um operative Kontinuität zu wahren und vorpositionierte Zugänge zu nutzen. Die Gruppe kann operieren, wenn Irans Internet ausfällt, indem sie gestohlene Starlink-Transceiver verwendet. Sie kann operieren, wenn ihre inländische Führung getötet wird. Sie kann operieren, wenn ihre primäre Domain-Infrastruktur vom DOJ beschlagnahmt wird. Das Resilienzprofil dieses Akteurs ist ein signifikanter Force Multiplier und der Hauptgrund, warum Handala auf dem Radar des IRGC ist.

Die Machtkonsolidierung des IRGC erfordert nicht, dass Handala neu aufbaut oder sich neu konstituiert. Es operiert als laufender Betrieb. Was die IRGC-Machtübernahme bewirkt, ist die Entfernung der strukturellen Einschränkungen, die Handalas Zielauswahl und operative Risikotoleranz geprägt haben.

Wie geht es weiter?

Handalas Mandat wird sich ändern. Die Gruppe wird eine autonomere Rolle erhalten.  

Handalas historische Zielauswahl folgt einer erkennbaren Progression: israelische Regierung und Verteidigung → israelische zivile Infrastruktur (Gesundheitswesen, Energie) → angrenzende Ziele in Golfstaaten → US-verteidigungsnahe Unternehmen → US-Fortune-500-Unternehmen → symbolische US-Regierungspersonen. Jeder Eskalationsschritt korrelierte mit einem spezifischen geopolitischen Trigger-Ereignis.

Die Machtkonsolidierung des IRGC im Kontext eines aktiven Krieges stellt den bedeutendsten geopolitischen Eskalationstrigger dar, unter dem Handala je operiert hat. Die folgenden Zielkategorien weisen ein materiell erhöhtes Risiko auf:

US-KRITIS und Fortune-500-Unternehmen mit israelischen Technologiepartnerschaften oder Lieferkettenbeziehungen. Handala hat das Muster mit Stryker bereits gezeigt: im Ziel vorpositionieren, auf einen geopolitischen Moment warten, einen destruktiven Wipe ausführen. Ismael Valenzuela von Arctic Wolf bewertete explizit, dass weitere Angriffe auf US-Unternehmen mit israelischen Lieferkettenbezügen nahezu sicher sind.

GCC-Finanz- und Energieinfrastruktur. Handala hat bereits die Kompromittierung von Jordaniens Kraftstoffsystemen beansprucht. Die DieNet-Gruppe — eine separate pro-iranische hacktivistische Entität — reklamierte Angriffe auf Flughäfen in Bahrain und Schardscha sowie auf die Riyadh Bank. Unter IRGC-Kriegsbefugnis haben Golfstaaten, die US-Militärassets beherbergen oder Beziehungen zu Israel normalisiert haben, eine explizite Zielbegründung. Energieinfrastruktur in Bahrain und den VAE besitzt sowohl symbolischen als auch operativen Wert.

Europäische Entitäten mit Iran-Sanktionsbezug. Das IRGC hat eine dokumentierte Historie, Cyberoperationen gegen europäische Regierungen als Druckinstrument in diplomatischen Streitigkeiten einzusetzen. Mit der Marginalisierung der zivilen Regierung verdampft die Zurückhaltung, die selbst Irans zivile Verhandler gegenüber europäischen Zielen angewandt haben.

Iranische Diaspora, Journalisten und Dissidenten. Dies ist eine nicht verhandelbare Mission für das IRGC, unabhängig vom Konflikttempo. Die Funktion der Plattform Handala-redwanted als Instrument zur Identifizierung und Lokalisierung von Regimekritikern für potenziellen physischen Schaden pausiert nicht während eines Machtübergangs. Sie intensiviert sich.

Gesundheitswesen und zivilkritische Dienste. Der Stryker-Angriff in Kombination mit Handalas historischer Zielauswahl im israelischen Gesundheitswesen etabliert eine klare doktrinäre Präferenz: Angriffe auf lebenserhaltende Systeme maximieren die psychologische Wirkung. Unter IRGC-Autorität verschiebt sich die Kalkulation über akzeptable Kollateralschäden für Zivilbevölkerungen in gegnerischen Ländern weiter in Richtung Permissivität.

Das Szenario „Void Manticore absorbiert IRGC-CEC“: Eine Vorausschau

Das folgenreichste Zukunftsszenario — bislang nicht belegt, aber analytisch gut fundiert — ist die funktionale Verschmelzung von MOIS-Cyberoperationen (Void Manticore/Handala) mit IRGC-CEC-Fähigkeiten unter einheitlicher IRGC-Kommandobefugnis.

Das IRGC-CEC hat Fähigkeiten gegen industrielle Steuerungssysteme und Operational Technology nachgewiesen. Der IRGC-assoziierte Threat Actor APT 35 taucht in unseren Honeypots in Ländern wie Indien, VAE, Ukraine, Südkorea, USA und Brasilien kontinuierlich auf. Handala könnte die Kooperation mit dieser Gruppe verstärken, um Zugang zu Netzwerken zu erhalten, auf die APT 35 bereits Zugriff hat.

Handalas Stärke liegt in seinen menschenzentrierten Fähigkeiten: Social Engineering für Initial Access, psychologische Operationen, Hack-and-Leak-Taktung sowie Medien- und Telegram-Amplifikationsinfrastruktur für maximale Wirkung.

Wenn IRGC-Kommandobefugnis auch nur eine informelle Integration dieser beiden Fähigkeitssätze bewirkt — die OT-Targeting-Fähigkeit des IRGC-CEC kanalisiert durch Handalas bewährte Zugangs- und Operationsinfrastruktur — nähert sich das daraus resultierende Bedrohungsprofil qualitativ etwas an, das sich von dem unterscheidet, womit Verteidiger bei Iran-nahen Akteuren bislang konfrontiert waren.

Was Verteidiger jetzt tun sollten

1. Führen Sie sofort Threat Hunting nach Handala-TTPs durch.** Die Indikatoren der Gruppe sind von Shieldworkz dokumentiert und geteilt. Suchen Sie jetzt danach, nicht erst nachdem auf Telegram eine Behauptung erscheint.

2. Behandeln Sie Intune als Lateral-Movement- und Destruktionsvektor.** Der Stryker-Angriff nutzte die legitime Endpoint-Management-Funktion von Microsoft Intune, um Remote Device Wipes im großen Maßstab auszuführen. Auditieren Sie alle Intune-Job-Erstellungen. Beschränken Sie den Zugriff auf Remote-Wipe- und Deployment-Funktionen in Intune auf die minimal notwendige Identitätsmenge, erzwingen Sie MFA für alle Admin-Konten und prüfen Sie Service-Account-Berechtigungen in Ihrer Endpoint-Management-Infrastruktur.

3. Schützen Sie Ihr Active Directory, bevor Handala es tut.** Das dokumentierte Playbook der Gruppe umfasst Vorpositionierung innerhalb von Active Directory vor destruktiven Operationen. Wenn Handala in Ihrem AD ist, ist die Zeit möglicherweise bereits abgelaufen, sobald Sie den Wiper sehen. Implementieren Sie gestufte AD-Administration, erzwingen Sie Privileged Access Workstations und überwachen Sie anomale Änderungen an Group Policies sowie die Erstellung von Service Accounts.

4. Warten Sie nicht auf den Claim-Post.** Handalas destruktivste Operationen beginnen Wochen oder Monate vor der öffentlichen Bekanntgabe. Die Gruppe exfiltriert, positioniert vor und veröffentlicht erst, wenn sie zur Ausführung bereit ist. Wenn Sie einen Claim auf handala-hack[.]to lesen, könnten Sie bereits betroffen sein. Reduzieren Sie Ihre Angriffsfläche jetzt — auf Basis der oben beschriebenen Targeting-Logik, nicht auf Basis nachträglicher Claim-Attribution.

5. Überwachen Sie Telegram hinsichtlich der Taktung des Electronic Operations Room.** Handala verstärkt seine Wirkung über Telegram. Der am 28. Februar 2026 eingerichtete Electronic Operations Room ist zum Koordinationsmechanismus für iran-nahe Cyberaktivitäten in diesem Konflikt geworden. Die Überwachung dieser Kanäle — über lizenzierte Threat-Intelligence-Plattformen — verschafft Verteidigern Frühwarnindikatoren zu Veränderungen in der Zielauswahl und Claim-Mustern, bevor diese in Live-Angriffe übergehen.

Die Reibung ist nicht mehr vorhanden

Die IranIntl-Berichterstattung über die Übernahme des iranischen Staates durch das IRGC ist oberflächlich betrachtet eine Geschichte über iranische Innenpolitik. Politische Macht bestimmt jedoch, wer was bei offensiven Cyberoperationen autorisiert. Wenn zivile Geheimdienstminister, die diplomatische Risiken abwogen und selbst nominale Rechenschaftsstrukturen aufrechterhielten, in einem aktiven Krieg durch einen Militärrat aus IRGC-Offizieren ersetzt werden, ändert sich die Kalkulation für offensive Cyberoperationen.

Handala hat bereits bewiesen, dass es den Tod seines Vorgesetzten überstehen kann. Es hat bewiesen, dass es trotz inländischer Internetabschaltungen operieren kann. Es hat bewiesen, dass es nach Domain-Beschlagnahmungen weitermachen kann. Es hat bewiesen, dass es destruktive Angriffe gegen US-Fortune-500-Unternehmen durchführen und die persönliche Kommunikation des FBI-Direktors kompromittieren kann.

Jetzt operiert es in einem Umfeld, in dem die institutionelle Reibung, die seine operativen Grenzen selbst nur lose prägte, entfernt wurde — und in dem der geopolitische Trigger, ein aktiver kinetischer Krieg, maximale Intensität erreicht hat.

Das ist keine Spekulation. Die technischen Fähigkeiten der Gruppe sind dokumentiert. Ihre Logik der Zielauswahl ist konsistent. Ihr Resilienzprofil ist belegt. Die Machtkonsolidierung des IRGC ist durch Quellen von Iran International bestätigt.

Die Frage ist nicht, ob Handala eskalieren wird. Die Evidenz beantwortet das bereits. Die Frage ist, ob die Sicherheitslage Ihrer Organisation die Realität dessen widerspiegelt, unter welchen Rahmenbedingungen dieser Threat Actor jetzt operiert — und wie schnell Sie diese Lücke schließen können, bevor der nächste Claim auf Telegram erscheint.

Gehen Sie zu unserem Bereich Remediation Guides , um auf kostenfreie Playbooks zur Umsetzung von Remediation-Maßnahmen für Ihre OT-Infrastruktur zuzugreifen.

Vereinbaren Sie ein Threat-Intelligence-Briefing für Ihr Unternehmen