Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

cyber war

Handala, cosa sapere del cyber gruppo iraniano che attacca l’Occidente

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Partecipa al dibattito
Indirizzo copiato

Handala è diventato di colpo nome centrale del cyber conflitto che ruota attorno a Iran, Israele e, più di recente, anche bersagli occidentali (Usa in primis), da ultima l’azienda americana Stryker. Chi sono, quali tecniche usano, come difendersi

Pubblicato il 18 mar 2026
handala

Handala è passato in poco più di due anni da marchio propagandistico filo-palestinese a nome centrale del cyber conflitto che ruota attorno a Iran, Israele e, più di recente, anche bersagli occidentali (Usa in primis), da ultima l’azienda americana Stryker.

La valutazione che oggi prevale nella threat intelligence non lo descrive più come un semplice collettivo di hacktivist: Check Point lo collega a Void Manticore, cluster affiliato al ministero dell’intelligence iraniano, mentre Unit 42 lo tratta come una front organization statale mascherata da hacktivismo.

Il salto di qualità non sta solo nella retorica politica, ma nella combinazione di phishing, intrusioni manuali, furto dati, leak pubblici e operazioni distruttive con wiper.

L’Iran ha cominciato la contro-guerra cyber: dai Ddos ai sabotaggi, ecco cosa bisogna sapere

Chi è Handala e perché conta

Il nome richiama il personaggio Handala creato dal vignettista palestinese Naji al-Ali. Sul piano operativo, però, Handala non è soltanto un brand simbolico: secondo Check Point è una delle tre principali “facce pubbliche” di Void Manticore, accanto a Karma e Homeland Justice. La prima è stata usata soprattutto contro Israele, la seconda contro l’Albania; Handala è diventata il marchio dominante dalla fine del 2023 e viene usata per intrusioni, leak e campagne di pressione psicologica.

Questo punto è importante per un pubblico cyber perché spiega un equivoco frequente: quando Handala si presenta come gruppo ideologico indipendente, la narrativa pubblica e la realtà operativa non coincidono necessariamente. Diversi vendor vedono proprio in questa ambiguità uno dei suoi vantaggi: rivendicare attacchi come “resistenza digitale” e al tempo stesso sfruttare TTP da attore statale o semi-statale.

Attribuzione a Iran: quanto è solida

L’attribuzione a Iran non nasce da un singolo indicatore, ma dalla convergenza di più elementi. Check Point parla esplicitamente di affiliazione al mo is e segnala sovrapposizioni di TTP, infrastrutture e codice con Void Manticore. Unit 42 usa la stessa cornice e inserisce Handala tra le principali personas iraniane emerse nella fase di escalation del marzo 2026. Anche il Comitato per la protezione dei giornalisti, citando reporting di Iran International e DW Persian, collega Banished Kitten, Storm-0842 e Handala allo stesso ecosistema iraniano.

Va aggiunto un elemento di prudenza. In alcune campagne del 2024 diversi ricercatori descrivevano Handala come gruppo filo-palestinese senza spingersi fino all’attribuzione statale; Trellix, per esempio, segnalava che la facciata ideologica poteva anche essere una copertura, ma lasciava aperta la questione. Oggi il consenso è più forte, ma non tutte le singole rivendicazioni del gruppo sono state confermate in modo indipendente.

Handala, gli attacchi attribuiti o rivendicati più rilevanti

La fase iniziale più documentata è quella contro organizzazioni israeliane. Tra luglio 2024 e i mesi successivi il gruppo è stato associato a campagne di spear phishing che usavano temi di stretta attualità per indurre il bersaglio a eseguire malware distruttivo. Il caso più noto è il filone legato al blackout globale causato dal crash di CrowdStrike il 19 luglio 2024: secondo Trellix e Splunk, Handala ha sfruttato l’evento per inviare email e pdf che promettevano una “fix” e in realtà portavano a un wiper. Anche l’Israel National Cyber Directorate aveva pubblicato il 20 luglio 2024 un alert su una campagna che imitava CrowdStrike.

Check Point ha ricostruito una continuità con le attività distruttive di Void Manticore in Israele: accessi ottenuti o ereditati da altri attori iraniani, quindi passaggio alla fase di impatto con wiper, cancellazioni manuali e leak. In quel lavoro il gruppo viene descritto come responsabile di attacchi “quick and dirty” ma molto efficaci, spesso con l’obiettivo di interrompere l’operatività più che mantenere una persistenza lunga e silenziosa.

Le rivendicazioni su Viber e altre aziende

Nel 2024 Handala ha anche rivendicato il furto di circa 740 GB di dati e del codice sorgente di Viber, chiedendo un riscatto in bitcoin. Questo episodio è utile soprattutto per capire la componente mediatica del gruppo: usa Telegram, siti di leak e social per amplificare l’impatto reputazionale. Però il valore analitico della rivendicazione è limitato finché manca una conferma indipendente da parte della vittima o di ricercatori con evidenze tecniche dirette.

Il targeting di giornalisti e media anti-Teheran

Nel luglio 2025 il Comitato per la protezione dei giornalisti ha riportato una campagna contro attuali ed ex dipendenti di Iran International. Secondo quel quadro, le compromissioni erano collegate a due ondate di attacco, una nell’estate 2024 e una nel gennaio 2025, condotte tramite messaggi Telegram con malware. Il caso interessa perché sposta il focus da aziende e infrastrutture a giornalisti e dissidenti, quindi a una combinazione di cyber intrusione e repressione transnazionale.

Il caso Bennett-Braverman su Telegram

Tra dicembre 2025 e gennaio 2026 Handala ha rivendicato la compromissione degli account Telegram di Naftali Bennett e di Tzachi Braverman, capo di gabinetto di Benjamin Netanyahu. KELA ha analizzato il materiale diffuso e ha concluso che l’accesso riguardava gli account Telegram, non i dispositivi completi: quindi più session hijacking e social engineering che compromissione totale dello smartphone. Anche qui la lezione per i difensori è chiara: l’obiettivo non è sempre il pieno controllo tecnico del device; spesso basta l’accesso a un account ad alto valore per ottenere materiale da pubblicare e pressione psicologica.

L’escalation del marzo 2026

Con l’escalation militare tra Stati Uniti, Israele e Iran, Handala entra in una fase più visibile. Unit 42 lo indica come la persona iraniana più prominente di quel momento e segnala rivendicazioni relative a una società israeliana di esplorazione energetica, a sistemi carburante in Giordania e a tentativi contro il settore sanitario civile israeliano. Su questi casi, però, la formulazione corretta è “claimed”: la fonte registra le rivendicazioni, non una verifica completa degli impatti.

L’attacco a Stryker

Il caso che ha dato a Handala una visibilità globale è l’attacco a Stryker, emerso l’11 marzo 2026. Stryker ha confermato una “global network disruption” nel proprio ambiente Microsoft, ha detto di non avere indicazioni di ransomware o malware e di ritenere l’incidente contenuto. Reuters, AP e altri media hanno riportato che Handala ha rivendicato l’operazione come ritorsione politica. Check Point e Unit 42 lo inseriscono nella traiettoria di attività distruttive già osservata sul gruppo.

Qui è essenziale separare i fatti verificati dalle affermazioni del gruppo. Fatti verificati: c’è stato un incidente cyber che ha colpito il network Microsoft di Stryker e ha creato disservizi operativi. Affermazioni di Handala non confermate in modo indipendente: 50 terabyte di dati esfiltrati e oltre 200 mila dispositivi cancellati. Le cifre circolano in molti report e articoli, ma allo stato attuale non risultano validate dalla vittima.

Le tecniche che usa Handala

Le tecniche di accesso iniziale sono piuttosto coerenti nei vari report. Splunk e Trellix descrivono campagne di spear phishing con email, pdf e link malevoli; Splunk aggiunge l’uso di sms phishing e un buon livello di padronanza dell’ebraico nei lure. Check Point, guardando alle intrusioni 2025-2026, sottolinea il ricorso sistematico a credenziali vpn compromesse e al targeting di it provider e fornitori di servizi, cioè supply chain più che attacco diretto al bersaglio finale.

Non si tratta di un attore noto per exploit zero-day complessi come primo riflesso. La forza del gruppo sta di più nella scelta dei bersagli vulnerabili, nell’uso di credenziali rubate, nei lures opportunistici legati alle news e nel passaggio rapido dalla compromissione all’impatto.

Operazioni “hands-on keyboard” e strumenti semplici

Check Point insiste su un punto: i TTP di Void Manticore/Handala restano in larga parte manuali. L’attore usa strumenti pubblici, utility di cancellazione, tool di encryption e wiper commerciali o semi-custom più che piattaforme malware particolarmente raffinate. Nelle intrusioni osservate nel 2026, i ricercatori hanno visto almeno cinque macchine controllate dagli attaccanti operare in parallelo nello stesso ambiente, con l’obiettivo di accelerare il danno.

Questo rende Handala interessante anche per un altro motivo: dimostra che un attore può produrre impatti severi senza arsenali tecnici “esotici”, se ha accesso amministrativo, tempismo e libertà di movimento.

Wiper, Group Policy e Intune

La componente più distintiva è l’uso di wiper. Check Point descrive quattro tecniche di wiping usate in parallelo in una stessa operazione, distribuite anche via Group Policy. Tra queste compaiono un Handala Wiper eseguito attraverso script batch e task distribuiti dal domain controller, un wiper PowerShell che enumera e cancella i file nelle directory utente, oltre a tecniche MBR-based per corrompere o distruggere i sistemi.

Unit 42, sul caso 2026, evidenzia un rischio molto concreto per gli ambienti enterprise moderni: lo sfruttamento dell’identità e dell’accesso amministrativo a Microsoft Intune. In pratica, una volta compromessi account privilegiati, la console di gestione può diventare il veicolo della distruzione, non solo dell’amministrazione. È un punto che interessa direttamente chi gestisce endpoint fleet, BYOD e mdm.

Tooling osservato: NSIS, AutoIT, Telegram, NetBird

Nel filone CrowdStrike-themed del luglio 2024, Trellix e Splunk descrivono una catena basata su un installer NSIS che estrae file nel sistema temporaneo, avvia script batch, esegue controlli anti-security software e lancia un payload AutoIT. Dopo il wiping, la campagna raccoglie informazioni di sistema ed exfiltra via API di Telegram; Splunk segnala anche l’uso di un canale Telegram come C2.

Nel 2026 Check Point ha osservato anche l’uso di NetBird su più macchine per creare connettività interna fra host compromessi e facilitare l’operatività laterale. In attacchi più vecchi, Void Manticore ha fatto ricorso a web shell dedicate, come la cosiddetta “Karma Shell”, capace di elencare directory, avviare processi, caricare file e gestire servizi.

Hack-and-leak e guerra psicologica

Handala non punta solo al danno tecnico. La sua firma sta nel doppio colpo: intrusione e pubblicazione. Check Point parla apertamente di destructive wiping attacks combinati con hack-and-leak; Cyberint descrive il gruppo come molto attento a mostrare prove parziali, screenshot, campioni di file e propaganda per rafforzare la reputazione. Questa esposizione pubblica serve a intimidire la vittima, alimentare la pressione mediatica e rendere la risposta incidentale più complicata.

Per questo Handala va letto anche come attore di information operations. Non basta chiedersi “quanti file ha cifrato o cancellato”; bisogna chiedersi quale narrazione vuole imporre, in quali tempi pubblica i dati e quali bersagli sceglie per massimizzare l’effetto politico.

Che cosa interessa di più ai difensori. Quattro punti per capire Handala

Per i team di sicurezza, Handala è rilevante per quattro motivi pratici.

  • Il primo è che trasforma eventi di cronaca o problemi tecnici globali in lures ad altissima credibilità, come nel caso CrowdStrike.
  • Il secondo è che colpisce identità e console di amministrazione, quindi sposta l’attenzione dalla sola prevenzione malware alla protezione degli account privilegiati.
  • Il terzo è che usa strumenti comuni e TTP manuali: quindi sfugge all’idea rassicurante secondo cui un attacco distruttivo richiede capacità eccezionali.
  • Il quarto è che abbina distruzione, leak e pressione psicologica, alzando il costo reputazionale dell’incidente.

Sul piano difensivo, le indicazioni più solide che emergono dalle fonti sono classiche.

  • Mfa resistente al phishing per gli account privilegiati
  • controllo stretto degli accessi a Intune e alle altre console mdm/rmm,
  • riduzione dell’esposizione degli accessi vpn,
  • monitoraggio dei logon anomali, segregazione degli ambienti amministrativi,
  • hardening della Group Policy e playbook specifici per wiper e remote wipe malevoli.

Sono misure meno “glamour” del threat hunting avanzato, ma nel caso Handala sono probabilmente quelle che fanno la differenza.

Handala, quello che ancora non sappiamo

Restano zone grigie. Non tutte le rivendicazioni del gruppo sono verificabili; in alcuni casi le vittime negano l’esfiltrazione o ne ridimensionano la portata. Non è sempre chiaro dove finisca il brand Handala e dove inizi il cluster più ampio Void Manticore, né quanto sia rigida la catena di comando tra operazioni “hacktiviste” e apparati statali. Anche il numero effettivo di compromissioni riuscite potrebbe essere inferiore a quello suggerito dalla propaganda pubblica.

Il punto fermo, però, c’è: Handala non è più un nome da rubricare tra i tanti gruppi rumorosi di Telegram. I report tecnici più solidi lo collocano nel perimetro delle operazioni iraniane che mescolano sabotaggio, furto dati e pressione informativa. Per chi segue la cyber, il caso Handala mostra bene come il confine tra hacktivism, proxy warfare e attività statale sia diventato sempre più sottili.

Con conseguenze che potrebbero andare ben oltre la fine, più o meno prossima, del conflitto armato Usa-Israele-Iran. La cyber war, come noto comincia prima e finisce dopo la guerra fisica.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Alessandro Longo
Direttore
Giornalista professionista, scrive da 16 anni per le principali testate italiane su temi del digitale, soprattutto telecomunicazioni, agenda digitale, pubblica amministrazione digitale. Collaborazione storica e settimanale per Sole24Ore, Repubblica (pagine di Economia nazionale, oltre mille articoli pubblicati, di cui un centinaio in prima pagina).
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • nis 2

  • L'APPROFONDIMENTO

    Direttiva NIS 2 per la sicurezza delle infrastrutture critiche: quando e a chi si applica, le sanzioni

    27 Ago 2025

    di Cristina Spagnoli

    Condividi
  • Attacco cyber Intuitive Surgical

  • phishing

    Attacco a Intuitive: l’ecosistema della chirurgia robotica a rischio per una password rubata

    17 Mar 2026

    di Paolo Tarsitano

    Condividi
  • Pig butchering: come funziona la filiera delle truffe online; Maxi truffe di investimento si travestono da informazione finanziaria sulle piattaforme advertising di Meta: come proteggersi

  • la ricerca

    Truffe travestite da informazioni finanziarie sfruttano l'advertising di Meta: come proteggersi

    18 Mar 2026

    di Mirella Castigli

    Condividi
  • Cyber Resilience Act guida conformità

  • la guida pratica

    Cyber Resilience Act: ecco come le imprese dovranno adeguarsi

    10 Mar 2026

    di Andrea Michinelli

    Condividi
0
Lascia un commento, la tua opinione conta.x