Lunedi 06 Luglio 2026 09:25:52 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cyber Warfare & Nation-State Operations

Dentro l’Handala Hack: come i sabotatori informatici iraniani fondono vecchi trucchi e nuove tecnologie per la distruzione di massa

Pubblicato: 16 Marzo 2026 15:36Categoria: Cyber Warfare & Nation-State OperationsArea: Middle EastAutore: AGONY

Sottotitolo: Hacker legati allo Stato iraniano stanno combinando intrusioni via desktop remoto con mesh networking e wiper basati su IA per scatenare attacchi devastanti contro obiettivi globali.

Inizia in silenzio-un accesso inosservato, un nome desktop familiare, un rivolo di traffico strano. Quando i difensori capiscono cosa sta succedendo, è troppo tardi: i file sono spariti, i dischi sono stati mandati in confusione e un’immagine beffarda segnala la compromissione totale. Questa è la firma dell’Handala Hack, un’operazione cyber iraniana che sta riscrivendo il manuale della distruzione digitale, fondendo tattiche “hands-on” con un nuovo arsenale di strumenti e un appetito implacabile per il caos.

Fatti rapidi

  • Handala Hack è l’ultima persona di Void Manticore, un attore di minaccia iraniano collegato al Ministero dell’Intelligence e della Sicurezza (MOIS).
  • Il gruppo sfrutta il Remote Desktop Protocol (RDP) e strumenti legittimi come NetBird per il movimento laterale e il tunneling di rete furtivo.
  • Wiper personalizzati-alcuni con codice assistito dall’IA-vengono distribuiti per cancellare dati, corrompere dischi e paralizzare le organizzazioni.
  • Gli attacchi di Handala sono altamente manuali, con operatori che spesso mantengono l’accesso per mesi prima di lanciare payload distruttivi.
  • Ai difensori viene raccomandato di imporre l’autenticazione a più fattori, limitare l’RDP e monitorare accessi insoliti e cancellazioni massive di file.

Dall’accesso occulto alla catastrofe

Dalla fine del 2023, la persona Handala Hack ha dominato le campagne cyber legate all’Iran, oscurando avatar precedenti come Karma e Homeland Justice. I metodi del gruppo sono al tempo stesso astuti e diretti: l’accesso iniziale arriva spesso da credenziali VPN compromesse, raccolte prendendo di mira fornitori IT e sfruttando autenticazioni deboli. Una volta dentro, gli attaccanti si muovono lateralmente nelle reti, privilegiando sessioni Remote Desktop Protocol (RDP) e, sempre più spesso, l’installazione di NetBird-uno strumento legittimo di mesh networking-per incanalare il traffico e coordinare attacchi su più sistemi compromessi.

Questo approccio consente agli operatori di Handala di mantenere furtività e flessibilità. In una violazione, cinque punti d’appoggio controllati dagli attaccanti hanno operato in parallelo, accelerando la distribuzione di malware distruttivo. Il tempo di permanenza degli attaccanti può estendersi per mesi, offrendo loro ampie opportunità per elevare i privilegi, rubare credenziali e mappare la topologia della rete usando strumenti come ADRecon. Prima di colpire, disabilitano il software di sicurezza e si preparano per il massimo impatto.

Distruzione su larga scala

Quando è il momento, Handala scatena una campagna coordinata di wiper. Il loro kit include un eseguibile personalizzato (“handala.exe”) che sovrascrive i file e corrompe i dischi di sistema, un wiper basato su PowerShell (probabilmente potenziato dall’IA) che cancella in massa i dati degli utenti, e l’abuso di VeraCrypt per cifrare le unità e ostacolare il ripristino. Questi payload vengono distribuiti tramite script automatizzati di Group Policy, garantendo una distruzione rapida e simultanea in tutto l’ambiente bersaglio. Per non lasciare dubbi, un’immagine di propaganda (“handala.gif”) viene depositata su ogni unità-un biglietto da visita digitale.

Le tattiche del gruppo non si limitano a malware sofisticati. Gli operatori sono stati osservati mentre eliminavano manualmente macchine virtuali e file, a conferma della loro disponibilità a combinare metodi high-tech e low-tech per la massima devastazione.

Difendersi da Handala

Per le organizzazioni, il messaggio è chiaro: concentrarsi sulle basi. Imporre l’autenticazione a più fattori per tutti gli accessi remoti, soprattutto VPN e account privilegiati. Rafforzare e limitare l’esposizione dell’RDP, monitorare l’uso di strumenti di mesh networking come NetBird e tenere sotto stretta osservazione cambiamenti improvvisi nelle Group Policy o cancellazioni di file su larga scala via PowerShell. Nell’era di Handala, la vigilanza è l’unica difesa contro una distruzione progettata.

Riflessione

La combinazione di persistenza “vecchia scuola” e innovazione moderna di Handala Hack segnala una nuova era del sabotaggio sponsorizzato dagli Stati. Man mano che si sfumano i confini tra strumenti legittimi e intenti distruttivi, i difensori devono adattarsi più rapidamente che mai-perché per gruppi come Handala, l’unica regola è la rovina.

WIKICROOK

  • Remote Desktop Protocol (RDP): Il Remote Desktop Protocol (RDP) consente agli utenti di accedere e controllare un computer da remoto. Senza adeguate misure di sicurezza, può essere vulnerabile agli attacchi informatici.
  • Mesh Networking: Il mesh networking collega i dispositivi direttamente, creando una rete resiliente e decentralizzata che migliora affidabilità e sicurezza evitando punti centrali di guasto.
  • Wiper Malware: Il wiper malware è un software malevolo che elimina o corrompe permanentemente i file, rendendo impossibile il recupero e causando gravi perdite di dati o interruzioni dei sistemi.
  • Group Policy: Le Group Policy consentono agli amministratori IT di gestire centralmente impostazioni, permessi e software su più computer Windows in un’organizzazione.
  • Multi: Multi si riferisce all’uso di una combinazione di tecnologie o sistemi diversi-come satelliti LEO e GEO-per migliorare affidabilità, copertura e sicurezza.