Handala Hack gilt als pro-iranische, pro-palästinensische Hacktivisten-Persona des iranischen Ministeriums für Geheimdienst und Sicherheit (MOIS). In der Sicherheits-Community wird die Gruppe unter den Namen Banished Kitten, Cobalt Mystique, Red Sandstorm und Void Manticore geführt. Sie betreibt zudem die Persona Homeland Justice, die seit Mitte 2022 albanische Einrichtungen angreift; eine weitere Persona namens Karma soll seit Ende 2023 weitgehend durch Handala Hack ersetzt worden sein.
Nach Daten von StealthMole unterhält Handala eine mehrschichtige Infrastruktur aus Domains im offenen Web, über Tor gehosteten Diensten und externen Filehostern wie MEGA. Laut einem Bericht von Check Point aus diesem Monat zielt die Gruppe vor allem auf IT- und Dienstleister, um Zugangsdaten zu erbeuten, und nutzt für den Erstzugriff überwiegend kompromittierte VPN-Konten. Check Point registrierte in den vergangenen Monaten hunderte Anmelde- und Brute-Force-Versuche gegen VPN-Infrastrukturen, die mit Handala in Verbindung stehen. Für die seitliche Ausbreitung kommt RDP zum Einsatz, zerstörerische Operationen starten über Wiper-Familien wie Handala Wiper und Handala PowerShell Wiper, die per Group-Policy-Anmeldeskripten verteilt werden. Zur Erschwerung der Wiederherstellung nutzt die Gruppe legitime Verschlüsselungswerkzeuge wie VeraCrypt.
Laut Flashpoint stehen bei Handala nicht finanzielle Motive im Vordergrund, sondern Störung, psychologische Wirkung und geopolitische Signale; die Operationen fielen häufig mit Phasen erhöhter geopolitischer Spannung zusammen und richteten sich gegen Organisationen von symbolischem oder strategischem Wert.
Die Gruppe hatte für sich reklamiert, die Netzwerke des Medizintechnik-Anbieters Stryker lahmgelegt zu haben, indem sie große Datenmengen löschte und tausende Mitarbeitergeräte unbrauchbar machte. Es handelt sich um die erste bestätigte zerstörerische Wiper-Operation gegen ein US-Unternehmen der Fortune-500-Liste. Stryker erklärte auf seiner Website, der Vorfall sei “eingedämmt”, man habe schnell reagiert und die installierten Persistenzmechanismen entfernt; betroffen sei ausschließlich die interne Microsoft-Umgebung gewesen. Eine eingesetzte Schaddatei habe Befehle zum Verschleiern der Aktivitäten ausgeführt, sei aber nicht in der Lage gewesen, sich im Netzwerk zu verbreiten.
Palo Alto Networks Unit 42 sieht als Hauptvektor jüngster Handala-Operationen die “Ausnutzung von Identitäten durch Phishing und administrativen Zugriff über Microsoft Intune”. Hudson Rock fand Hinweise, dass über Infostealer-Malware erbeutete Zugangsdaten zur Microsoft-Infrastruktur genutzt worden sein könnten. Microsoft und die US-Cybersicherheitsbehörde CISA veröffentlichten daraufhin Härtungsempfehlungen für Windows-Domänen und Intune, darunter das Least-Privilege-Prinzip, phishingresistente Mehr-Faktor-Authentifizierung und die Mehr-Admin-Freigabe für sensible Änderungen in Intune.
Das Leak von Patels E-Mails ist nach Darstellung der Beteiligten eine Reaktion auf eine gerichtlich angeordnete Operation, bei der seit 2022 vom MOIS betriebene Domains beschlagnahmt wurden. Das US-Justizministerium erklärte, die Domains seien für psychologische Operationen genutzt worden – etwa zum Reklamieren von Hacks, zum Veröffentlichen gestohlener Daten und zu Mordaufrufen gegen Journalisten, Dissidenten und Israelis. Betroffen waren unter anderem Daten von rund 190 Personen mit Bezug zu den israelischen Streitkräften oder der Regierung sowie 851 GB vertraulicher Daten von Mitgliedern der Sanzer-chassidischen Gemeinschaft. Die US-Regierung lobt zudem eine Belohnung von 10 Millionen Dollar für Hinweise auf Mitglieder der Gruppe aus. Handala Hack tauchte inzwischen unter einer neuen Domain wieder auf und bezeichnete die Beschlagnahmen als “verzweifelte Versuche” der USA und ihrer Verbündeten, die Stimme der Gruppe zum Schweigen zu bringen.
