Laut dem SEC-Bericht führte der Angriff zu Störungen und eingeschränktem Zugriff auf bestimmte Informationssysteme und Geschäftsanwendungen, die Teile des Betriebs und der Unternehmensfunktionen stützen. Stryker erklärte, man arbeite mit Hochdruck an der Wiederherstellung der betroffenen Funktionen und Zugänge, ein Zeitplan für die vollständige Wiederherstellung stehe jedoch noch nicht fest. Es seien Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs vorhanden, um Kunden und Partner weiter zu unterstützen.

Der Bericht bekräftigt, dass der Vorfall weder Ransomware noch Malware umfasste. Mehrere Sicherheitsexperten halten es für wahrscheinlich, dass die Angreifer die nativen Funktionen und Werkzeuge von Microsoft Intune nutzten, um Schaden anzurichten. Microsoft Intune ist ein cloudbasiertes System zur einheitlichen Endgeräteverwaltung, mit dem Zugriffe auf Unternehmensressourcen über Windows-, macOS-, Linux-, iOS- und Android-Geräte abgesichert und verwaltet werden. Mitarbeiter berichteten, dass sämtliche Geräte mit Microsoft Intune bereinigt worden seien.

“Was den Vorfall bei Stryker besonders besorgniserregend macht, ist die offenkundige Nutzung von Verwaltungsinfrastruktur für Unternehmen — möglicherweise die Bewaffnung von Microsoft Intune —, um zerstörerische Aktivität in großem Maßstab durchzuführen”, sagte Kathryn Raines, Leiterin Cyber Threat Intelligence beim Sicherheitsunternehmen Flashpoint. Microsoft lehnte gegenüber Recorded Future News eine Stellungnahme ab.

Der Vorfall erscheint als erster Hinweis auf mögliche Cyber-Folgen des Konflikts zwischen den USA und Iran. Seit Beginn des Konflikts hatten Experten gewarnt, dass Cyberangriffe sowohl iranischer staatlich gestützter Gruppen als auch von Hacktivisten als Teil der Reaktion auf Luftangriffe der US- und israelischen Streitkräfte zu erwarten seien. Mehrere mutmaßlich iranische Gruppen verunstalteten zuletzt Webseiten, führten kleinere Spionageversuche durch und starteten DDoS-Angriffe; ein größerer Vorfall wurde jedoch erst gemeldet, als die Gruppe Handala den Angriff auf Stryker für sich reklamierte.

Handala existiert dem Sicherheitsunternehmen Optiv zufolge seit 2023 und ist dafür bekannt, die Wiper-Malware Hatef sowie die Stealer-Malware Rhadamanthys einzusetzen. Bislang richtete sich die Gruppe vor allem gegen bedeutende Ziele in Israel und stahl in der Regel Informationen, bevor sie Wiper-Malware ausspielte. Den ersten Zugang verschafft sie sich laut Optiv meist über Phishing-E-Mails oder durch das Vortäuschen legitimer Organisationen. Seit Beginn des Konflikts mit den USA erhob Handala mehrere unbestätigte Angriffsbehauptungen, darunter gegen Regierungsstellen in Jordanien und Israel.

Optiv und mehrere weitere Forschungsfirmen sehen erhebliche Überschneidungen zwischen Handala und einer mit dem iranischen Korps der Islamischen Revolutionsgarde (IRGC) verknüpften, staatlich gestützten Gruppe namens APT34. Raines von Flashpoint erklärte, man beobachte Handala seit einem Jahr; die Gruppe gebe sich als basisdemokratische Widerstandsbewegung aus, ihre Taktiken und Ziele seien jedoch “weit eher mit Aktivität iranischer staatlicher Akteure vereinbar als mit unabhängigem Hacktivismus”. APT34 wurde zuvor vorgeworfen, zwischen 2023 und 2025 ihre Angriffe auf Regierungsbehörden in Saudi-Arabien, im Irak, in der Region Kurdistan, den Vereinigten Arabischen Emiraten und der weiteren Golfregion ausgeweitet zu haben.