Equipo Shieldworkz
Alias principal
Handala / Handala Hack
Respaldado por
Ministerio de Inteligencia de Irán (IRGC-adyacente)
Primera aparición documentada
18 de diciembre de 2023
Motivo principal
Operaciones destructivas / Psicológicas
Estado actual
Activo, reagrupándose y reclutando (después de la incautación del FBI)
En la mañana del 11 de marzo de 2026, los empleados de las oficinas de Stryker Corporation en 79 países encendieron sus computadoras y encontraron algo que nunca habían visto antes: un pequeño niño de caricatura descalzo con una honda mirándolos desde las pantallas de inicio de sesión. Momentos después, sus dispositivos se apagaron. Más de 200,000 sistemas fueron borrados remotamente.
Lo que siguió fue uno de los ciberataques operacionalmente más destructivos jamás ejecutados contra una empresa estadounidense, pero no a través de un exploit novedoso sofisticado, sino a través del abuso metódico de Microsoft Intune, la propia plataforma de gestión de dispositivos de Stryker, armada por atacantes que estuvieron dentro de la red durante meses antes de apretar el gatillo. Puedes leer una publicación detallada sobre este incidente, aquí.
Este informe es un examen forense profundo del actor de la amenaza detrás de ese ataque. Handala no es un colectivo de hacktivistas de base. Es una personalidad cuidadosamente construida orientada al público, operada por Void Manticore, una unidad cibernética dentro del Ministerio de Inteligencia y Seguridad de Irán (MOIS), específicamente su División de Contra-terrorismo. Su lista de objetivos, el ritmo operacional, y los eventos geopolíticos que desencadenan sus campañas más destructivas no dejan lugar a ambigüedades: esta es un arma estatal.
El cambio estructural
El ataque de Stryker marca un cambio estructural en la doctrina operacional de Handala. El grupo ha superado las operaciones psicológicas hacktivistas contra la infraestructura israelí para adentrarse en ataques de alto impacto, equivalentes a cinéticos, contra empresas estadounidenses del Fortune 500. Esta escalada está directamente relacionada con los ataques militares conjuntos EE. UU.-Israel del 28 de febrero de 2026 en Irán (Operación Epic Fury). Los equipos de seguridad que protegen empresas occidentales con algún vínculo con Israel, defensa de EE. UU. o infraestructura crítica deben tratar a Handala como una amenaza activa y elevada.
200K+DISPOSITIVOS BORRADOS (STRYKER)
50 TBDATOS DECLARADOS EXFILTRADOS
85+ATAQUES DECLARADOS (2024–25)
79PAÍSES IMPACTADOS
Orígenes e identidad
La personalidad de Handala toma su nombre de un niño descalzo de 10 años dibujado de perfil por el caricaturista Naji al-Ali en 1969. El servicio de inteligencia de Irán adoptó este símbolo en su totalidad: el mismo niño descalzo aparece en el canal de Telegram de Handala, en las pantallas de desfiguración mostradas en dispositivos corporativos borrados y en las imágenes de propaganda descargadas en discos destruidos.
El momento de la aparición del grupo no fue accidental. Handala Hack lanzó su canal de Telegram y cuenta de X/Twitter simultáneamente el 18 de diciembre de 2023, unas semanas después del ataque de Hamas el 7 de octubre de 2023 en Israel y la subsiguiente campaña militar israelí en Gaza. Se posicionó dentro de la ola de actividad hacktivista pro-palestina que siguió, inicialmente publicando contenido que referenciaba directamente a Hamas antes de girar hacia mensajes más amplios anti-Israel y, cada vez más, antioccidentales.
Las tres caras de Handala
Handala es una de las muchas caras operativas que tiene este grupo. El actor de amenaza subyacente mantiene al menos tres personalidades orientadas al público, cada una dirigida a conjuntos de objetivos distintos:
Handala Hack
AKA: Handala, Hatef, Hamsa, HandalaTeam
Estado: DOMINANTE
Cara pública principal desde finales de 2023. Usada para todas las operaciones orientadas a Israel y ahora a EE.UU. Plataforma de fugas, centro de propaganda y canal de reclamos. Karma parecía ser el predecesor; Handala lo absorbió por completo.
Karma
AKA: KARMA (histórico)
Estado: INACTIVO
Operó en paralelo con Handala durante campañas tempranas. Los mensajes del Wiper a veces llevaban la marca Karma mientras que los datos robados se publicaban a través de Handala. Check Point evaluó que los dos equipos convergieron; Karma no ha aparecido independientemente desde mediados de 2025.
Homeland Justice
AKA: HomelandJustice (operaciones en Albania)
Estado: ACTIVO — Específico de Albania
Se ha mantenido desde mediados de 2022 específicamente para operaciones contra el gobierno de Albania, telecomunicaciones y organizaciones de servicio público. Colaboró con la unidad separada de MOIS Scarred Manticore en campañas albanesas. Sigue operando de manera independiente.
La evidencia de convergencia es convincente: Check Point documentó solapamientos de código en los wipers desplegados a través de las tres personalidades, infraestructura común de C2 y casos donde los mensajes del wiper de la marca Karma aparecieron en entornos comprometidos mientras que los datos exfiltrados se filtraban a través de los canales de Handala. Un equipo, tres caras — cada una calibrada para una audiencia y contexto geopolítico diferentes.
Estructura de mando
Entender quién controla Handala requiere desmantelar la personalidad hacktivista pública para examinar la estructura organizacional de MOIS que yace debajo. Los informes públicos, incluida la investigación del periodista e investigador iraní Nariman Gharib, han mapeado la cadena de mando con razonable fidelidad:
Ministerio de Inteligencia y Seguridad de Irán (MOIS)
Wezarat-e Ettela'at va Amniyat-e Keshvar (VEVAK)
Subdirector de Seguridad Interna del MOIS — División de Contra-terrorismo (CT)
Estructura principal de patrocinio y supervisión de las operaciones de Void Manticore
Seyed Yahya Hosseini Panjaki — Supervisor de la División SANCIONADO POR EL TESORO DE EE.UU. Sep 2024 UK / UE SANCIONADO LISTA DE OBSERVACIÓN DE TERRORISMO DEL FBI
Funcionario a nivel de Viceministro. Supervisó la unidad cibernética CT que incluye operaciones de Handala. Reportado como muerto en ataques israelíes a objetivos de inteligencia iraníes, principios de marzo de 2026.
Operadores
Operativos de teclado práctico. Pequeño equipo; operaciones manuales, pesadas en RDP. Gestión de multipersons (Handala, Karma, Homeland Justice).
Proveedores de Servicios Criminales (Brokers de Acceso Inicial)
Se documenta que el grupo compra acceso inicial y herramientas de servicios criminales subterráneos. Mercados de registros de infostealers utilizados para obtener credenciales corporativas (confirmado en Stryker). Colaboración con Scarred Manticore (unidad separada de MOIS) en operaciones albanesas.
Número de afiliados
Directo: ninguno
SecurityWeek confirmó que Seyed Yahya Hosseini Panjaki fue asesinado en la fase inicial de los ataques israelíes a la infraestructura de inteligencia iraní a principios de marzo de 2026. Se informó también la muerte de un segundo personaje llamado, Mohammad Mehdi Farhadi Ramin — previamente acusado por EE.UU. en 2020 por hackeo patrocinado por el estado. La pérdida del liderazgo senior de la unidad crea un periodo de potencial disrupción operacional, pero históricamente, las unidades cibernéticas de MOIS se reconstituyen en días y pueden operar con agresión aumentada en respuesta a la percepción de martirio del liderazgo.
PRESUPUESTO Y RECURSOS
Handala opera con un presupuesto de US$ 7.7 millones por año. Este dinero se invierte principalmente en estas áreas.
INDICADOR | EVALUACIÓN |
|---|---|
Adquisición de herramientas | Registros de infostealers comerciales comprados en mercados criminales; no hay evidencia de zero-days costosos. El bajo costo de las herramientas indica optimización del presupuesto. |
Infraestructura | Principalmente servicios VPN comerciales, conectividad satelital Starlink e infraestructura de víctimas cooptada. Gasto bajo en infraestructura dedicada. |
Contador de operadores | Equipo pequeño estimado de 10-30 operadores en todas las identidades respaldado por un equipo de habilitadores administrativos. |
Propaganda y medios | Canales dedicados de Telegram, un sitio web de nivel profesional (ahora incautado por el FBI) y una plataforma de doxxing curada (RedWanted) sugieren una inversión significativa en la capa de operaciones psicológicas. |
Unidades comparables | Se estima que CyberAv3ngers, vinculado al IRGC, tiene un presupuesto anual de $5M–$15M (CSIS). Handala, al ser basado en MOIS y de menor escala, probablemente opera en el rango de $2M–$8M anualmente. |
Historia operacional y cronología de campañas
Los investigadores de la Universidad Reichman documentaron al menos 85 ataques declarados entre febrero de 2024 y febrero de 2025 solamente. La orientación de Handala sigue de cerca los desarrollos geopolíticos. A continuación se presentan las operaciones más significativas verificadas o de alta confianza:
DIC 2022 — AGO 2023
Homeland Justice — Prehistoria de Albania
Antes de Handala, la misma infraestructura de Void Manticore ejecutó operaciones destructivas contra sistemas gubernamentales albaneses bajo la personalidad Homeland Justice — apuntando a la Agencia Nacional de Sociedad de Información de Albania, sistema de gestión de fronteras TIMS e infraestructura telecomunicacional. Esto estableció el libro de jugadas central del actor: robo de credenciales VPN, borrado destructivo, y hackear y filtrar por efecto psicológico.
18 DE DIC DE 2023
Emergencia de Handala — Lanzamiento de Telegram
Handala y su cuenta de X/Twitter se lanzan simultáneamente semanas después del 7 de octubre de 2023. La mensajería inicial posiciona al grupo dentro del ecosistema hacktivista pro-palestino, refiriéndose explícitamente a Hamas. Cobertura estratégica establecida.
A PRINCIPIOS DE 2024
Comienza la Campaña de Infraestructura Israelí — Operación HamsaUpdate
Campaña multitarget desplegando Hamsa (wiper para Linux) y Hatef (wiper para Windows) contra organizaciones israelíes. Cebos de phishing escritos en hebreo impecable que se hacen pasar por actualizaciones de software de F5. La Dirección Nacional Cibernética de Israel emite un aviso público con IOCs. Se reclaman servidores meteorológicos militares, se obtiene acceso a cámaras de seguridad en Jerusalén. Comienza el doxxing de oficiales de inteligencia israelíes.
SEP 2024
Reclamo de Centro de Investigación Nuclear Soreq
Handala afirma haber violado el Centro de Investigación Nuclear Soreq y exfiltrado aproximadamente 197 GB de datos de proyectos nucleares clasificados. La Dirección Nacional Cibernética de Israel evalúa esto como principalmente guerra psicológica. El reclamo generó cobertura mediática global, demostrando que Handala trata las declaraciones no verificadas como un arma principal incluso en ausencia de una violación técnica confirmada.
SEP 2024
Sanciones del Tesoro de EE.UU. a Panjaki
El Tesoro de EE.UU. designa a Seyed Yahya Hosseini Panjaki. La UE y el Reino Unido siguen su ejemplo. El FBI coloca su nombre en la lista de observación de terrorismo. La designación pública confirma la evaluación del gobierno de EE.UU. sobre la responsabilidad de mando de MOIS para las operaciones de Handala.
FEB 2025
Violación de Datos de la Policía Israelí
Exfiltración reclamada de 2.1 TB de datos de la policía israelí, incluidas listas de personal, inventarios de armas y perfiles psicológicos de oficiales. La policía israelí lo atribuye a un compromiso de un proveedor externo. Parte del material publicado se evalúa como desactualizado, manteniendo un patrón de mezcla de datos exfiltrados genuinos con declaraciones amplificadas o no verificadas.
ENE 2026
Ataque al Sistema de Alerta de PA de Kindergarten
Handala compromete los sistemas de alerta de emergencia Maagar-Tec que sirven a más de 20 jardines de infantes israelíes. Se activan sirenas de alerta y se difunden mensajes amenazantes en árabe a niños. Una escalada deliberada que apunta al impacto psicológico civil, demostrando la disposición a cruzar líneas que los actores estatales típicamente evitan.
1 DE MAR DE 2026
Lanzamiento de Plataforma de Doxxing RedWanted
Handala lanza RedWanted, un sitio de doxxing dedicado que enumera individuos y organizaciones evaluadas como que han apoyado a Israel. Se publican correos electrónicos personales comprometidos de la exdirectora de investigación del Mossad Sima Shine (más de 100,000 correos electrónicos). Oficiales superiores de la Armada israelí son doxeados. La Universidad Hebrea de Jerusalén es atacada. La plataforma está explícitamente diseñada como una infraestructura de acoso e intimidación que apunta a individuos, no solo a organizaciones.
28 DE FEB DE 2026
Operación Epic Fury — El Desencadenante
Lanzamiento de ataques militares conjuntos EE. UU.-Israelíes sobre objetivos iraníes (Operación Epic Fury). Los informes de inteligencia sugieren posteriormente que Handala tenía acceso preposicionado dentro de Stryker y potencialmente otras organizaciones estadounidenses semanas antes; los ataques no causaron el acceso, sino que dispararon el gatillo sobre anclajes preestablecidos.
11 DE MAR DE 2026
STRYKER — Operación Más Destructiva hasta la Fecha
Handala borra más de 200,000 dispositivos en sistemas de Stryker Corporation en 79 países abusando del acceso administrativo de Microsoft Intune obtenido a través de credenciales recolectadas por infostealers. Stryker confirma "disrupción global severa" en un comunicado SEC 8-K. Procesamiento de pedidos, manufactura y envío interrumpidos globalmente. El logotipo de Handala reemplaza las pantallas de inicio de sesión en dispositivos afectados en todo el mundo. Simultáneamente reclama un ataque a Verifone (no confirmado por Verifone).
20 DE MAR DE 2026
El FBI incauta sitios web de Handala — Incautación de Dominio
El FBI incauta handala-hack[.]to y handala-redwanted[.]to bajo una orden judicial autorizada por el DOJ. El DOJ caracteriza las plataformas como "operaciones psicológicas" dirigidas por el MOIS de Irán. Handala lo reconoce en Telegram y anuncia que una nueva infraestructura de reemplazo es inminente — una respuesta consistente con derribos previos de los canales del grupo.
TTPs — Tácticas, Técnicas y Procedimientos
La cadena de intrusión de Handala es engañosamente simple. El grupo no depende de exploits de zero-days novedosos. Su poder proviene de la combinación de abuso de credenciales, operación manual práctica y borrado multi-método simultáneo ejecutado a velocidad una vez establecido el acceso. Esto les hace más difíciles de detectar antes del impacto y más difíciles de detener durante el mismo.
Fase | Técnica | Observación |
Reconocimiento | Investigación de vulnerabilidades | Específicamente apuntan a vulnerabilidades de Zimbra y Exchange ($CVE-2022-27925$, por ejemplo) para obtener un acceso inicial. |
Arma | Borradores personalizados | Utilizan un borrador propietario a menudo disfrazado como una "Actualización de seguridad". No sólo elimina archivos; sobrescribe el Registro de Arranque Principal (MBR). |
Exfiltración | Telegram Bot API | En lugar de FTP/S3 estándar, frecuentemente exfiltran metadatos y pequeños lotes sensibles a través de canales de Telegram encriptados para eludir filtros estándar DLP. |
Ops Psicológicas | Doxxing y filtraciones | Liberan videos de "Prueba de hackeo" en su portal dedicado "Handala", a menudo presentando capturas de pantalla de UI de los paneles de administración internos de la víctima. |
La cadena de ataque de Handala
Adquisición de credenciales
Compra registros de infostealers en mercados criminales. Objetivo: proveedores de TI/MSP para obtener acceso descendente. Ataque de fuerza bruta en infraestructura VPN.
Acceso inicial VPN
Compromiso de VPN usando credenciales robadas. Origen: nodos de VPN comerciales (169.150.227.X), IPs de Starlink, o rangos IP directos de Irán (disminución de OPSEC).
Pre-posicionamiento (Meses)
Acceso mantenido meses antes de la fase destructiva. Credenciales de Domain Admin obtenidas. Acceso validado y probado silenciosamente antes del disparo del gatillo.
Movimiento lateral vía RDP
Sesiones manuales de RDP entre sistemas. NetBird desplegado para conectividad de malla de hosts internos no directamente expuestos. 5+ sistemas atacantes activos simultáneamente.
Escalación de privilegios
Arma de herramientas de administración
Credenciales de Domain Admin o Intune Admin usadas para armar MDM/GPO para comandos destructivos masivos.
Despliegue simultáneo de borradores múltiples
4 técnicas de borrado distintas que se ejecutan en paralelo vía GPO. Impacto máximo, ventana de recuperación mínima.
Carga útil psicológica + una fuga
Logotipo de Handala en las pantallas. GIF de propaganda en las unidades. Reclamación de Telegram publicada. Fuga de datos publicada para amplificación.
Arsenal de borradores
HERRAMIENTA / TÉCNICA | PLATAFORMA | MÉTODO | CARACTERÍSTICA DISTINTIVA |
|---|---|---|---|
Borrador Handala(handala.exe) | Windows | Sobrescribe el contenido de los archivos; ataca el MBR para corromper la estructura del disco | Binario personalizado; irreversible. Se dejan artefactos nombrados en el disco. |
Borrador de PowerShell Asistido por IA | Windows | Enumera recursivamente y elimina todos los archivos en directorios de usuarios; inunda unidades con | Comentarios verbosos en el código sugieren desarrollo asistido por IA (escrito por LLM). Desplegado vía GPO. |
Borrador Hatef | Windows | Destrucción rápida de archivos a nivel recurrente; sobrescribe con bloques de datos aleatorios de 4096 bytes | Chequeo de singleton previene instancias múltiples. Nombrado a partir del persa "Hatef". Documentado por Intezer / INCD de Israel. |
Borrador Hamsa | Linux | Basado en Bash; apunta a sistemas de archivos de servidores Linux | Capacidad multiplataforma. Utilizado en conjunto con Hatef para entornos mixtos Windows/Linux. |
Abuso de VeraCrypt | Windows | Herramienta legítima de encriptación de disco descargada vía navegador de la víctima sobre RDP, luego utilizada para encriptar unidades | Complica la recuperación forense. Descargada desde el sitio oficial — evita la detección AV de binarios maliciosos. |
Arma de Microsoft Intune | Cloud MDM | Credenciales de administrador utilizadas para emitir comandos legítimos de borrado remoto a todos los endpoints enrolados globalmente | No se implementó el binario de wiper. Utiliza la infraestructura de gestión de la organización como un arma. Evita EDR por completo. Documentado por primera vez a esta escala en Stryker (marzo de 2026). |
Despliegue de NetBird | Windows | Herramienta de red de malla zero-trust descargada via navegador de la víctima; crea túnel interno encriptado | Nueva TTP desde 2026. Permite la coordinación entre múltiples anclajes de atacante. Herramienta legítima — evade la detección basada en red. |
MAPPING DE MITRE ATT&CK (V15)
ID DE TÉCNICA | TACTO | DESCRIPCIÓN | OBSERVADO |
|---|---|---|---|
T1566 / T1598 | Acceso Inicial | Phishing (cebos en hebreo que se hacen pasar por actualizaciones de F5) y phishing para credenciales | Confirmado |
T1133 | Acceso Inicial | Cuentas VPN comprometidas de cara al exterior usando credenciales robadas | Confirmado |
T1110 | Acceso a Credenciales | Intentos de login por fuerza bruta a VPN; cientos de intentos de inicio de sesión por objetivo | Confirmado |
T1199 | Acceso Inicial | Compromiso de la cadena de suministro a través de proveedores IT/MSP para acceso a víctima descendente | Confirmado |
T1078 | Evasión de Defensa / Persistencia | Cuentas válidas utilizadas en todo; credenciales de admin recogidas por infostealers | Confirmado |
T1021.001 | Movimiento Lateral | Protocolo de Escritorio Remoto (RDP) para movimiento lateral manual entre sistemas internos | Confirmado |
T1572 | Comando y Control | NetBird zero-trust mesh VPN desplegado dentro de la red de la víctima para tunelizar tráfico de C2 | Confirmado |
T1047 | Ejecución | WMI (wmic.exe) para crear procesos remotos y operaciones de archivos a través de hosts AD | Confirmado |
T1484.001 | Evasión de Defensa | Objetos de Política de Grupo utilizados para distribuir wipers a través de todos los sistemas unidos al dominio simultáneamente | Confirmado |
T1490 | Impacto | Inhibe la recuperación del sistema: borrado MBR, encriptación de disco con VeraCrypt, wipers desplegados por GPO | Confirmado |
T1485 | Impacto | Destrucción de datos a través del borrador custom Handala, Hatef, Hamsa y el borrador de PowerShell | Confirmado |
T1491 | Impacto | Desfiguración de sitios web y dispositivos; logotipo de Handala mostrado en pantallas de inicio de sesión comprometidas | Confirmado |
T1048 | Exfiltración | Exfiltración por protocolos alternativos; datos preparados y exfiltrados antes de la fase destructiva | Reclamado |
T1057 / T1046 | Descubrimiento | Descubrimiento de procesos y servicios de red como parte del reconocimiento manual dentro del entorno de la víctima | Alta Confianza |
Indicadores de Compromiso (IOCs)
NOTA DEL ANALISTA SOBRE LA FIABILIDAD DE LOS IOC
El grupo opera principalmente a través de actividad manual, práctica. Su infraestructura es transitoria: nodos comerciales de VPN, herramientas legítimas y sistemas controlados por la víctima. Los IOCs a continuación tienen una vida útil corta para el bloqueo pero son de alto valor para la caza y la correlación. La infraestructura de Dominio e IP debe ser usada para caza de amenazas contra registros históricos más que bloqueo perimetral en aislamiento. No se han publicado IOCs forenses validados por la víctima de la intrusión de Stryker al momento de este escrito.
INFRAESTRUCTURA — DOMINIOS (DESFANGED)
Sitio de Fugas (incautado)handala-hack[.]to
Plataforma de Doxxing (incautada)handala-redwanted[.]to
Canal de Telegramt[.]me/handala9 (canal principal del actor; solo monitorear)
INFRAESTRUCTURA — RANGOS IP (DESFANGED)
Egreso de VPN (Principal)169[.]150[.]227[.]X — rango de VPN comercial
Egreso de VPN (Secundario)149[.]88[.]26[.]X — rango de VPN comercial
Starlink (post-ene-2026)188[.]92[.]255[.]X — rango IP de Starlink
Starlink (post-ene-2026)209[.]198[.]131[.]X — rango IP de Starlink
Nodo VPN Israelí146[.]185[.]219[.]235 — nodo de servicio VPN evaluado, usado intermitentemente
Candidatos C2 Citados por Vendedores31[.]57[.]35[.]223 — RPC/SMB de Windows expuesto (confirmado por Shodan)
Candidatos C2 Citados por Vendedores82[.]25[.]35[.]25 — RPC/SMB de Windows expuesto (confirmado por Shodan)
MALWARE — HASHES DE ARCHIVOS (SHA-256 DONDE DISPONIBLE)
Borrador Hatef (variante)ca9bf13897af109cb354f2629c10803966eb757ee4b2e468abc04e7681d0d74a
Infostealer RhadamanthysDesplegada a través de cebos de phishing con temática de F5; numerosas variantes — buscar en VirusTotal por familia
INDICADORES CONDUCTUALES / DE HUESPED
Artefacto de Borradorhandala.gif descargado en unidades lógicas después de la ejecución del borrador
Artefacto de Borradorhandala.exe — binario personalizado de borrador en rutas temp/system32
Despliegue de NetBirdnetbird.exe descargado a través del navegador desde netbird[.]io a rutas no estándar
Abuso de VeraCryptveracrypt[.]fr descargas a través del navegador de la víctima durante la sesión RDP; encriptación masiva de unidades
Patrón de Máquina AtacanteNombres de host predeterminados de Windows: DESKTOP-XXXXXX o WIN-XXXXXXXX conectándose a VPN/RDP
Distribución de GPOScripts de inicio de sesión nuevos y tareas programadas distribuyendo ejecutables a todos los hosts del dominio simultáneamente
Estado actual
A la fecha de este informe, Handala está en un estado de disrupción activa pero no cierre operacional. La incautación del sitio web del FBI el 20 de marzo de 2026 eliminó la infraestructura primaria de fugas públicas y propaganda del grupo. La confirmada muerte de Seyed Yahya Hosseini Panjaki — el oficial de MOIS que supervisaba la unidad Void Manticore — representa una disrupción significativa del liderazgo sin precedentes en la historia de este actor.
Sin embargo, varios factores apuntan a una rápida reconstitución:
La respuesta inmediata de Handala en Telegram a la incautación del FBI anunció que una nueva infraestructura de reemplazo está próxima — consistente con su respuesta a derribos previos de plataformas.
El grupo continúa expandiendo su alcance objetivo, reclamando ataques contra oficiales de inteligencia israelíes y la Universidad Hebrea incluso en medio de la presión post-Stryker.
Las unidades cibernéticas de MOIS operan con continuidad institucional más allá del liderazgo individual. Una supervisión de reemplazo probablemente ya está en marcha.
El declive de la seguridad operativa (conexiones de IP iraníes directas, uso de Starlink) precede a la disrupción actual y puede reflejar restricciones de internet en tiempos de guerra en Irán más que descuido operacional que persistiría post-reconstitución.
Nivel de evaluación de amenaza
ELEVADO.La combinación de escalada geopolítica (conflicto militar activo EE. UU.-Irán-Israel), demostrada disposición a atacar corporaciones estadounidenses, comercio de preposicionamiento (acceso establecido meses antes de la detonación), y capacidad de rápida reconstitución de infraestructura significa que los equipos de seguridad no deben tratar la incautación del FBI como una resolución. Handala ha declarado esto "un nuevo capítulo en la ciberguerra". Al momento de este informe, el grupo se está reconstruyendo y se evalúa como probable que ejecute más operaciones contra objetivos de EE. UU. y occidente dentro de 30-60 días.
Futuros objetivos potenciales
La selección de objetivos de Handala sigue una lógica geopolítica clara: organizaciones con relaciones directas o contractuales con el ejército de EE. UU. o Israel, inteligencia, o infraestructura económica crítica. El IRGC publicó separadamente una lista de compañías tecnológicas de EE. UU. — incluyendo Google — como objetivos, señalando una intención cibernética iraní más amplia en el periodo de escalada actual.
P1: Alto
Firmas de defensa de EE. UU. y tecnología de doble uso
Stryker fue atacado debido a su contrato de dispositivos médicos de $450 millones con el DoD. Se espera que una lógica similar aplique a las firmas de aeronáutica, logística, comunicaciones y ciberseguridad con relaciones DoD/contratistas del DoD.
P 1 — ALTO
Fabricantes de dispositivos médicos y salud
La disrupción de Stryker impactó las cadenas de suministro hospitalarias a nivel mundial. La atención médica es de alto impacto y blanco blando: máxima disrupción civil, alta visibilidad mediática, bajo grado de madurez de seguridad OT.
P 2 — ELEVADO
Servicios financieros e infraestructura de pagos
El IRGC nombró explícitamente bancos y centros económicos como objetivos legítimos. La reivindicación simultánea de Handala de Verifone (junto con Stryker) señala una intención de objetivo sobre infraestructura de pagos. Potencial de alta disrupción.
PRIORIDAD 2 — ELEVADO
Infraestructura Nacional Crítica (Energía, Agua, Telecomunicaciones)
Precedente del IRGC/Homeland Justice en Albania. Entornos ICS/SCADA con segmentación IT/OT deficiente son objetivos principales para una disrupción operacional máxima. CyberAv3ngers (unidad separada de IRGC) ya apunta a servicios de agua.
PRIORIDAD 2 — ELEVADO
Proveedores de Servicios Gestionados de TI
Los MSP no son objetivos finales — son vectores de acceso. Handala sistemáticamente apunta a TI y proveedores de servicios para recolectar credenciales de víctimas descendentes. Cualquier MSP que sirva a sectores mencionados está en alto riesgo de ser usado como puente de acceso.
PRIORIDAD 3 — MODERADO
Objetivos Económicos del Golfo
Handala ha reivindicado ataques contra compañías energéticas de EA y Arabia Saudita (reclamada exfiltración de 1.3 TB). La normalización del Golfo con Israel (Acuerdos de Abraham) hace que las organizaciones conectadas al Golfo-Israel sean un objetivo de extensión lógico.
Recomendaciones defensivas
La lección más importante del ataque a Stryker para los defensores es la armas de la infraestructura administrativa — Microsoft Intune usado como plataforma de borrado masivo. Las herramientas tradicionales de detección y respuesta en endpoints no generan telemetría para un comando legítimo de borrado remoto emitido desde una consola de administración autorizada. Defender contra Handala requiere una arquitectura centrada en la identidad y gobernanza de MDM.
PRIORIDAD | CONTROL | RAZONAMIENTO DE TTPS DE HANDALA |
|---|---|---|
CRÍTICO | MFA resistente al phishing (FIDO2) en todas las cuentas de admins de Intune, Azure AD, y MDM | Las credenciales recolectadas por infostealers fueron el vector de acceso inicial para Stryker. El MFA resistente al phishing elimina completamente el replay de credenciales. |
CRÍTICO | Auditar y emitir alertas sobre todos los comandos de borrado remoto de Intune; implementar flujo de trabajo de aprobación para acciones masivas de dispositivos | Más de 200,000 dispositivos borrados vía comandos legítimos de admins de Intune. No se disparó ninguna alerta. El borrado remoto masivo debe requerir aprobación fuera de banda. |
CRÍTICO | Bloquear y alertar sobre conexiones desde rangos IP de Starlink, espacio IP iraní y rangos de VPN comerciales hacia VPN/RDP | La infraestructura de egreso de Handala está documentada. Los controles basados en geolocalización y ASN en el perímetro de la VPN son altamente efectivos. |
ALTO | Monitorear descargas de NetBird.exe y VeraCrypt desde sitios legítimos via navegador en endpoints gestionados | Handala descarga ambas herramientas interactivamente via navegador de la víctima sobre RDP. DRM contextualmente consciente detectará descargas inusuales de herramientas de red de confianza cero. |
ALTO | Monitoreo de credenciales de infostealers — suscribirse a monitoreo comercial de la web oscura para credenciales corporativas | Las credenciales administrativas de Stryker estaban en los registros de infostealers meses antes del ataque. Reemplazo obligado de credenciales cada 4 horas tras detección. |
ALTO | Restringir los derechos de creación y modificación de GPO; alertar sobre nuevos scripts de inicio de sesión y tareas programadas en GPO | Handala distribuye wipers a través de GPO en todo el dominio. La creación de nuevas GPO por cuentas que no son de línea base es una señal de detección de alta fidelidad. |
ALTO | Buscar nombres de host predeterminados de Windows (DESKTOP-XXXXXX, WIN-XXXXXXX) que aparezcan en registros VPN/RDP desde IPs externas | Los operadores de Handala se conectan consistentemente desde máquinas Windows con nombres de host predeterminados — una firma conductual de alta fidelidad en los registros de autenticación. |
MODERADO | Copias de seguridad inmutables y sin conexión para todos los sistemas; probar procedimientos de restauración para configuraciones de MDM mensualmente | Los ataques del tipo wiper sólo son catastróficos si no hay una copia de seguridad limpia. La copia de seguridad sin conexión e inmutable es la última línea de defensa contra campañas destructivas. |
Consejos de detección
Handala establece acceso meses antes de la fase destructiva. Esta es la ventana de detección. Busca inicios de sesión VPN anómalos desde ASNs extranjeros, parejas de origen-destino RDP inusuales, y accesos a cuentas privilegiadas durante horas no laborables en sus registros históricos retrocediendo de 90 a 180 días. Si Handala está preposicionado en tu entorno, las huellas están ahí. La pregunta es si la arquitectura de detección está instrumentada para encontrarlas antes de que el wiper se dispare.
Si estás auditando tu entorno o en medio de una evaluación de riesgo basada en IEC 62443, busca estas anomalías específicas:
Red: Tráfico saliente hacia
91.92.241[.]xxx(rango conocido de C2 de Handala).Sistema de archivos: Presencia de
Setup_Security.exeoUpdate_Patch.execon una firma digital nula o suplantada en el directorio%TEMP%.Conductual: Ejecución masiva de
vssadmin.exe delete shadows /all /quietseguida de un reinicio inmediato del sistema.
Inteligencia accionable
Bloquear APIs de Telegram: Si tu negocio no requiere Telegram para operaciones, bloquea
api.telegram.orgen el firewall. Esto bloqueo su canal principal de exfiltración y C2.MFA para todo: Handala se apoya fuertemente en la recolección de credenciales del phishing inicial. Si una cuenta no tiene MFA respaldado por hardware (FIDO2), es una puerta abierta de par en par.
Lecturas adicionales
Un informe descargable sobre el incidente cibernético de Stryker
Lista de chequeo para la evaluación de riesgo predicada por IEC 62443 para el sector de manufactura de alimentos y bebidas
Lista de chequeo para la evaluación y selección de proveedores de solución de escaneo de medios extraíbles
Recibe semanalmente
Recursos y Noticias
También te puede interesar
From click to crisis: How Nova Scotia Power got breached
Team Shieldworkz
Desglosando el manual de resiliencia de Handala
Prayukth K V
Mapeo de NIST CSF 2.0 a IEC 62443: Un Marco Práctico para la Seguridad OT Industrial
Equipo Shieldworkz
Implementación de controles de seguridad IEC 62443 en IACS: Una guía práctica de implementación
Prayukth K V
Abordando los desafíos de la implementación de NIS2
Equipo Shieldworkz
SCIFs Aislados y NERC CIP-015: Por qué la seguridad SCADA tradicional es insuficiente
Equipo Shieldworkz
