Hoy más temprano, Iran International publicó una nota exclusiva en la que afirma que el Cuerpo de la Guardia Revolucionaria Islámica (IRGC) ha ejecutado, en los hechos, un golpe blando dentro de Teherán. Han comenzado a bloquear nombramientos presidenciales, a levantar un cordón de seguridad alrededor del Líder Supremo Mojtaba Jamenei y a instalar un consejo militar de oficiales del IRGC como autoridad ejecutiva de facto del Estado iraní.

Para los analistas políticos, esta es una historia sobre la militarización de una teocracia bajo el paraguas de una guerra en curso. Pero para los profesionales de inteligencia de amenazas cibernéticas, este evento podría marcar el inicio de una serie completamente nueva de amenazas y riesgos en el ciberespacio. Los acontecimientos en terreno ya están proyectando una sombra y, con esta supuesta toma de control, uno de los brazos más conocidos del IRGC ahora tendrá más libertad y recursos para ejecutar su agenda.

La entidad que nos preocupa aquí es Handala. Quienes siguen nuestros avisos de inteligencia de amenazas conocen muy bien a este actor de amenaza. La consolidación de poder del IRGC elimina uno de los últimos puntos de fricción que, aunque de forma limitada, aún restringían el ritmo operativo de Handala. El grupo definitivamente no se está quedando en silencio.

Antes de continuar, no olvides revisar nuestro blog anterior sobre la guía de un líder de CTI para construir un sandbox de APT aquí.

¿Quién es Handala?  

Antes de entrar en por qué importa la toma de poder del IRGC, debemos ser precisos sobre qué es realmente Handala. El descriptor "hacktivista", frecuentemente asociado con el grupo, lo favorece y confunde a los defensores.

Handala no es un colectivo de base. Es una identidad pública cuidadosamente construida, operada por “Void Manticore”, también rastreada como Banished Kitten, Storm-0842 y Red Sandstorm. Es una unidad cibernética integrada en el Ministerio de Inteligencia y Seguridad de Irán (MOIS) (específicamente su **División Antiterrorista (CT)**). La cadena de mando, documentada mediante reportes de fuentes abiertas, investigación de Shieldworkz y designaciones del Departamento del Tesoro de EE. UU., llega a un individuo identificado: “Seyed Yahya Hosseini Panjaki”, un funcionario de nivel viceministerial sancionado por el Tesoro de EE. UU. en septiembre de 2024 por supervisar operaciones de asesinato de disidentes iraníes, y cuya muerte fue reportada posteriormente en ataques israelíes contra la sede del MOIS a inicios de marzo de 2026.

Handala mantiene al menos tres identidades operativas públicas: “Handala Hack” (la identidad principal y dominante desde finales de 2023, enfocada en Israel y ahora en Estados Unidos), “Karma” (una identidad predecesora que ha quedado inactiva) y “Homeland Justice” (la identidad utilizada en los ataques destructivos de 2022 contra infraestructura gubernamental albanesa, incluido el sistema de gestión fronteriza TIMS y redes nacionales de telecomunicaciones). No son tres grupos distintos; son tres máscaras del mismo equipo operativo.  

Históricamente, el grupo ha comprado acceso inicial a servicios criminales clandestinos: una decisión deliberada que preserva la separación operativa y permite una negación plausible. Es una unidad cibernética estatal que compra en la darknet. Eso dice todo sobre el ámbito en el que opera. Los playbooks de Handala están cambiando y el grupo ahora también participa en ataques directos y ataques de falsa bandera con actores de amenaza rusos. Este grupo ha pasado por múltiples ciclos evolutivos y ya superó su fase de construcción de reputación; ahora está entrando en un ciclo más destructivo.

Handala antiguo vs Handala nuevo

Para el registro operativo: este no es un actor periférico

El historial documentado de ataques de Handala no es el que uno asociaría con un grupo hacktivista torpe y poco sofisticado. Los investigadores de amenazas de Shieldworkz han documentado los IOC relacionados con este grupo en 35 entornos distintos de honeypots alrededor del mundo entre enero y febrero de 2026, cuando el grupo estaba preposicionando activamente sus payloads en entornos vinculados con objetivos clave en 14 países.

Además, lo siguiente representa operaciones verificadas con alta confianza:

Ataques wiper contra infraestructura civil y gubernamental israelí. Handala ha utilizado múltiples métodos simultáneos de borrado —personalizados y públicamente disponibles— contra objetivos israelíes, a menudo en conjunto con operaciones de hack-and-leak diseñadas para maximizar la presión psicológica. Check Point Research documentó TTP recién observadas en 2026, incluido el despliegue de **NetBird** para tunelizar tráfico hacia redes de víctimas y el uso de un script de PowerShell asistido por IA para automatizar actividades de borrado. Este no es un actor poco sofisticado.

El ataque a Stryker, marzo de 2026.
Handala se atribuyó la responsabilidad de un ataque con malware destructivo contra Stryker, una empresa estadounidense Fortune 500 de tecnología médica con sede en Michigan. Los atacantes parecen haber obtenido acceso a la infraestructura de Active Directory de Stryker —no está claro exactamente cuándo, lo que indica preposicionamiento— y utilizaron la capacidad de administración de endpoints de Microsoft Intune para borrar de forma remota dispositivos y servidores en toda la huella global de la compañía. Semanas después, la empresa seguía trabajando para restaurar por completo su capacidad de manufactura. Esta fue una escalada estructural: Handala pasó de objetivos de infraestructura israelí a una empresa Fortune 500 de EE. UU. con impacto destructivo directo.

Compromiso del correo personal del director del FBI, Kash Patel.
Handala afirmó haber comprometido la cuenta de correo personal de Patel. El FBI confirmó que fue objetivo. Los datos accedidos fueron descritos como "de carácter histórico"; sin embargo, el objetivo de las comunicaciones personales del director en funciones del FBI es una provocación deliberada, calculada para demostrar alcance e infligir daño reputacional. 

Doxxing de ingenieros de Lockheed Martin.
El grupo envió mensajes SMS no solicitados con información de identificación personal a ingenieros de Lockheed Martin con base en Israel, amenazándolos para que abandonaran el país en 48 horas: una operación de intimidación física habilitada por una intrusión cibernética. La frontera entre operaciones cibernéticas y amenazas de violencia física es una línea que Handala difumina deliberadamente.

Sistemas de combustible de Jordania y una empresa israelí de exploración energética.
Handala afirmó haber comprometido la infraestructura de combustible de Jordania y una firma israelí de exploración energética; ambos reclamos se hicieron en el contexto de la Sala de Operaciones Electrónicas más amplia, establecida el 28 de febrero de 2026, inmediatamente después de la Operación Epic Fury, los ataques militares conjuntos de EE. UU. e Israel contra Irán.

El Departamento de Justicia de EE. UU. confiscó cuatro dominios vinculados a Handala el 19 de marzo de 2026: handala-hack[.]to, handala-redwanted[.]to, justicehomeland[.]org y karmabelow80[.]org. La respuesta del grupo fue continuar operando. El grupo también cambia sus canales de Telegram con frecuencia.

El punto de inflexión: consolidación del IRGC y lo que destruye

Handala es un activo del MOIS y el MOIS es el ministerio de inteligencia civil de Irán: el aparato de inteligencia interna y externa que opera bajo supervisión gubernamental nominalmente civil, distinto de las estructuras de inteligencia militar del IRGC. La exclusiva de IranIntl del 1 de abril de 2026 documenta que el IRGC ahora ha hecho lo siguiente:

- Bloqueó nombramientos de liderazgo en el MOIS.
El esfuerzo del presidente Pezeshkian por nombrar a un nuevo ministro de inteligencia fue vetado personalmente por el jefe comandante del IRGC, Ahmad Vahidi, quien declaró que "todos los puestos de liderazgo críticos y sensibles deben ser seleccionados y gestionados directamente por el IRGC hasta nuevo aviso".

- Impuso un consejo militar sobre la toma de decisiones del Estado.
Un consejo de altos oficiales del IRGC ahora ejerce autoridad ejecutiva, con un cordón de seguridad que impide que los reportes gubernamentales lleguen al círculo interno del Líder Supremo.

- Absorbió efectivamente la autoridad de mando del MOIS.
Con el viceministro del MOIS evaluado como líder de Handala (Panjaki) muerto, y ahora con los nombramientos de liderazgo del MOIS bloqueados por el IRGC, la línea organizacional de rendición de cuentas civil que iba desde los operadores de Handala hacia arriba a través del MOIS ha sido cortada o subordinada.

Esto importa por cinco razones específicas y discretas:

La muerte de Panjaki no fue el final de Handala, y la toma del IRGC hace que una reconstitución sea mucho más peligrosa.

Cuando Panjaki murió a inicios de marzo de 2026, el análisis inicial en la comunidad de seguridad evaluó que esto podría interrumpir la continuidad operativa de Handala. La evidencia dice lo contrario. El grupo continuó operando: el ataque a Stryker, la intrusión a Patel y el doxxing de Lockheed Martin ocurrieron después de la muerte reportada de Panjaki. Esto demostró que Handala había alcanzado un grado de **descentralización operativa** que lo hizo resiliente al descabezamiento de liderazgo.

Ahora considera lo que ocurre cuando el IRGC, que tiene su propio brazo cibernético (el Comando Cibernético-Electrónico del IRGC, IRGC-CEC), toma el control del aparato de seguridad del Estado. Históricamente, el IRGC-CEC ha ejecutado operaciones de ataque dirigidas por el Estado contra ICS/OT: un perfil de ataque distinto y, en muchos aspectos, técnicamente más sofisticado que las operaciones psicológicas y destructivas que caracterizan a MOIS/Handala. La convergencia de estas dos tradiciones bajo una estructura unificada de mando del IRGC crea las condiciones para una **polinización cruzada de capacidades**: inteligencia de objetivos y experiencia OT del IRGC fluyendo hacia operaciones destructivas y de hack-and-leak al estilo Handala.

2. La supervisión civil —por mínima que fuera— ha sido eliminada 

Describir la supervisión del MOIS sobre Handala como robusta sería generoso. Pero las burocracias civiles, incluso las autoritarias, imponen ciertas restricciones: cálculos de riesgo, preocupación por la atribución, exposición diplomática. El IRGC es una organización militar en una guerra activa. No opera con el mismo cálculo. Cuando oficiales del IRGC reemplazan a ministros civiles de inteligencia en la cadena de aprobación de operaciones cibernéticas ofensivas, disminuye el umbral para autorizar un ataque destructivo contra una empresa de EE. UU., un operador europeo de infraestructura crítica o un sistema energético de un estado del Golfo. La fricción burocrática que incluso de forma marginal limitaba el alcance operativo ha desaparecido.

3. El mandato operativo en tiempos de guerra amplía el conjunto de objetivos permitidos.

El IRGC se ha declarado en postura de guerra. Bajo ese encuadre, los ciberataques contra infraestructura adversaria no son provocaciones: son instrumentos multiplicadores de fuerza en la guerra. Su propia Sala de Operaciones Electrónicas, establecida el 28 de febrero de 2026, enmarcó específicamente las operaciones cibernéticas como un teatro del conflicto cinético. Bajo la autoridad de mando del IRGC, este encuadre se convierte en doctrina. Entidades que antes habrían sido consideradas objetivos diplomáticamente sensibles —infraestructura financiera de estados del Golfo, empresas energéticas europeas, firmas estadounidenses de telecomunicaciones— se vuelven legítimas en la lógica de guerra del IRGC.

4. Handala ya ha demostrado capacidad para operar bajo conectividad degradada y disrupción de mando.

Shieldworkz Research documentó un hallazgo crítico y subestimado. Después del apagón nacional de internet en Irán en enero de 2026, Handala continuó realizando intentos de fuerza bruta e inicio de sesión contra infraestructura VPN organizacional, pivotando a rangos de IP de Starlink para mantener continuidad operativa y aprovechar accesos preposicionados. El grupo puede operar cuando el internet de Irán está caído usando transceptores Starlink robados. Puede operar cuando su liderazgo doméstico es eliminado. Puede operar cuando el DOJ confisca su infraestructura principal de dominios. El perfil de resiliencia de este actor es un multiplicador de fuerza significativo y es la razón principal por la que Handala está en el radar del IRGC.

La consolidación de poder del IRGC no requiere que Handala se reconstruya o reconstituya. Opera como una entidad en marcha. Lo que hace la toma de poder del IRGC es eliminar las restricciones estructurales que daban forma a la apertura de objetivos y a la tolerancia de riesgo operativo de Handala.

¿Qué sigue?

El mandato de Handala cambiará. Se le dará un rol más autónomo.  

La selección histórica de objetivos de Handala sigue una progresión discernible: gobierno y defensa israelíes → infraestructura civil israelí (salud, energía) → objetivos adyacentes de estados del Golfo → empresas estadounidenses adyacentes a defensa → empresas Fortune 500 de EE. UU. → individuos simbólicos del gobierno de EE. UU. Cada paso de escalada se correlacionó con un evento detonador geopolítico específico.

La consolidación de poder del IRGC, que ocurre en el contexto de una guerra activa, representa el detonador de escalada geopolítica más significativo bajo el que Handala ha operado. Las siguientes categorías de objetivos enfrentan un riesgo materialmente elevado:

Infraestructura crítica de EE. UU. y empresas Fortune 500 con alianzas tecnológicas israelíes o relaciones de cadena de suministro. Handala ya demostró la plantilla con Stryker: preposicionarse dentro del objetivo, esperar un momento geopolítico y ejecutar un borrado destructivo. Ismael Valenzuela, de Arctic Wolf, evaluó explícitamente que es casi seguro un mayor targeting de firmas estadounidenses con vínculos de cadena de suministro israelí.

Infraestructura financiera y energética del CCG. Handala ya afirmó el compromiso de los sistemas de combustible de Jordania. El grupo DieNet —una entidad hacktivista proiraní separada— afirmó ataques contra aeropuertos en Baréin y Sharjah, y apuntó a Riyadh Bank. Bajo autoridad de guerra del IRGC, los estados del Golfo que alojan activos militares de EE. UU. o que han normalizado relaciones con Israel enfrentan una justificación explícita de targeting. La infraestructura energética en Baréin y EAU representa valor tanto simbólico como operativo.

Entidades europeas con exposición a sanciones sobre Irán. El IRGC tiene un historial documentado de uso de operaciones cibernéticas contra gobiernos europeos como instrumentos de presión en disputas diplomáticas. Con el gobierno civil relegado, se evapora la contención que incluso los negociadores civiles iraníes aplicaban al targeting europeo.

Diáspora iraní, periodistas y disidentes. Esta es una misión no negociable para el IRGC, independientemente del ritmo del conflicto. La función de la plataforma Handala-redwanted como herramienta para identificar y localizar críticos del régimen para posible daño físico no se detiene durante una transición de poder. Se intensifica.

Servicios de salud y servicios críticos para civiles. El ataque a Stryker, combinado con el targeting histórico de Handala contra el sector salud israelí, establece una preferencia doctrinal clara: atacar sistemas que sostienen la vida maximiza el impacto psicológico. Bajo autoridad del IRGC, el cálculo sobre el daño colateral aceptable a poblaciones civiles en países adversarios se desplaza aún más hacia la permisividad.

El escenario "Void Manticore absorbe IRGC-CEC": una evaluación prospectiva

El escenario prospectivo de mayor consecuencia —aún no evidenciado, pero analíticamente bien sustentado— es la fusión funcional de las operaciones cibernéticas del MOIS (Void Manticore/Handala) con las capacidades del IRGC-CEC bajo una autoridad unificada de mando del IRGC.

IRGC-CEC ha demostrado capacidad contra sistemas de control industrial y tecnología operativa. El actor de amenaza afiliado al IRGC, APT 35, aparece de forma consistente en nuestros honeypots en países como India, EAU, Ucrania, Corea del Sur, EE. UU. y Brasil. Handala puede incrementar su cooperación con este grupo para acceder a las redes a las que APT 35 ya tiene acceso.

La fortaleza de Handala radica en sus capacidades orientadas a personas: ingeniería social para acceso inicial, operaciones psicológicas, cadencia de hack-and-leak, e infraestructura de amplificación en medios y Telegram para máximo impacto.

Si la autoridad de mando del IRGC provoca incluso una integración informal de estos dos conjuntos de capacidades —la capacidad de targeting OT del IRGC-CEC canalizada a través del acceso e infraestructura operativa probados de Handala—, el perfil de amenaza resultante se acerca a algo cualitativamente diferente de lo que los defensores han enfrentado previamente de actores alineados con Irán.

Qué deben hacer los defensores ahora

1. Realicen threat hunting de inmediato para TTP de Handala.** Los indicadores del grupo están documentados y compartidos por Shieldworkz. Búsquenlos ahora, no después de que aparezca un reclamo en Telegram.

2. Traten Intune como un vector de movimiento lateral y destrucción.** El ataque a Stryker utilizó la capacidad legítima de administración de endpoints de Microsoft Intune para ejecutar borrados remotos de dispositivos a escala. Auditen todas las creaciones de trabajos en Intune. Restrinjan el acceso a las capacidades de borrado remoto y despliegue de Intune al conjunto mínimo necesario de identidades, apliquen MFA en todas las cuentas administrativas y revisen los permisos de cuentas de servicio en su infraestructura de administración de endpoints.

3. Protejan su Active Directory antes de que lo haga Handala.** El playbook documentado del grupo incluye preposicionamiento dentro de Active Directory antes de ejecutar operaciones destructivas. Si Handala está dentro de su AD, para cuando vean el wiper, el tiempo ya se habrá agotado. Implementen administración por niveles de AD, apliquen estaciones de trabajo de acceso privilegiado y monitoreen cambios anómalos de políticas de grupo y creación de cuentas de servicio.

4. No esperen al post de reivindicación.** Las operaciones más destructivas de Handala comienzan semanas o meses antes del anuncio público. El grupo exfiltra, preposiciona y luego publica solo cuando está listo para ejecutar. Para cuando lean un reclamo en handala-hack[.]to, puede que ya sean víctimas. Reduzcan su superficie de ataque ahora, con base en la lógica de targeting anterior, no en atribución retrospectiva de reclamos.

5. Monitoreen Telegram para seguir la cadencia de la Sala de Operaciones Electrónicas.** Handala amplifica mediante Telegram. La Sala de Operaciones Electrónicas, establecida el 28 de febrero de 2026, se ha convertido en el mecanismo de coordinación para actividad cibernética alineada con Irán durante este conflicto. Monitorear estos canales —mediante plataformas licenciadas de inteligencia de amenazas— brinda a los defensores alerta temprana de cambios de targeting y patrones de reclamo antes de que se traduzcan en ataques activos.

La fricción ya no existe

El reporte de IranIntl sobre la toma del Estado iraní por parte del IRGC es, en apariencia, una historia de política interna iraní. Pero el poder político determina quién autoriza qué en operaciones cibernéticas ofensivas. Cuando ministros civiles de inteligencia que ponderaban el riesgo diplomático y mantenían incluso estructuras nominales de rendición de cuentas son reemplazados por un consejo militar de oficiales del IRGC en una guerra activa, cambia el cálculo de la ofensiva cibernética.

Handala ya demostró que puede sobrevivir a la muerte de su supervisor. Ha demostrado que puede operar durante apagones nacionales de internet. Ha demostrado que puede continuar tras confiscaciones de dominios. Ha demostrado que puede ejecutar ataques destructivos contra empresas Fortune 500 de EE. UU. y comprometer las comunicaciones personales del director del FBI.

Ahora opera en un entorno donde se ha eliminado la fricción institucional que, aunque de forma laxa, modelaba sus límites operativos, y donde el detonador geopolítico —una guerra cinética activa— está en máxima intensidad.

Esto no es especulación. Las capacidades técnicas del grupo están documentadas. Su lógica de selección de objetivos es consistente. Su perfil de resiliencia está establecido. La consolidación de poder del IRGC está confirmada por las fuentes de Iran International.

La pregunta no es si Handala escalará. La evidencia ya responde eso. La pregunta es si la postura de seguridad de su organización refleja la realidad de las condiciones bajo las cuales ahora opera este actor de amenaza, y qué tan rápido puede cerrar esa brecha antes de que aparezca el siguiente reclamo en Telegram.

Visita nuestra sección de Guías de Remediación para acceder a playbooks gratuitos sobre implementación de remediaciones para tu infraestructura OT.

Programa una sesión informativa de inteligencia de amenazas para tu empresa