CTI & OSINT

FICHE DE RENSEIGNEMENT — HANDALA / HANDALA HACK TEAM

by  • 

TLP:CLEAR | Tous Publics | Mise à jour : Mars 2026

1. IDENTIFICATION & ATTRIBUTION

Dénominations (alias connus par vendor)

Le groupe est suivi sous les dénominations suivantes selon les vendors : Handala, Handala Hack, Handala Hack Team, Void Manticore (Check Point Research), Storm-0842 / Storm-842 (Microsoft), BANISHED KITTEN (CrowdStrike), Dune (autres vendors) (1)(2). Des personas opérationnels associés incluent Karma (alias Karma Below) et Homeland Justice, utilisés respectivement contre Israël et l’Albanie (1).

Origine

Iran.

Sponsor présumé

Void Manticore est un acteur affilié au Ministry of Intelligence and Security (MOIS) iranien. Selon les sources publiques, l’activité est liée à la Deputy Internal Security du MOIS, en particulier à sa division Counter-Terrorism (CT), opérant sous la supervision de Seyed Yahya Hosseini Panjaki (1)(2). Panjaki a été sanctionné par le Trésor américain en septembre 2024, puis par l’UE et le Royaume-Uni, et est inscrit sur la liste terroriste du FBI (2).

Niveau de sophistication

Modéré à élevé. Le groupe a évolué d’opérations basiques (phishing, DDoS) vers des infiltrations par compromission de comptes, escalade de privilèges, persistence longue durée et déploiement de wipers destructeurs (8). Sophos X-Ops note que Handala surestime régulièrement ses capacités ; certaines violations alléguées impliquent des données recyclées ou obsolètes (2).

Motivation

Destruction / sabotage — opérations de type hack-and-leak à fort composant de guerre psychologique et d’influence. Motivations géopolitiques alignées sur les intérêts iraniens.

Secteurs ciblés

Par ordre de fréquence documentée : technologie, informatique, gouvernement et défense, infrastructures critiques, énergie, éducation, secteur financier (2).

Zones géographiques

Israël constitue la cible principale. Depuis fin 2025 et l’escalade post-Operation Epic Fury (frappes USA-Israël du 28 février 2026), le ciblage s’est étendu aux entreprises américaines, aux États du Golfe et aux institutions occidentales (2)(6).

2. INFRASTRUCTURE & TTPs

Infrastructure C2

Le groupe utilise des canaux Telegram comme serveurs C2 (3). Des plateformes de stockage cloud ont été identifiées pour l’exfiltration de données : AWS S3 et Storj (8). Le groupe utilise majoritairement des nœuds VPN commerciaux pour masquer son origine, avec des hostnames caractéristiques au format DESKTOP-XXXXXX ou WIN-XXXXXX. Depuis le blocage internet en Iran en janvier 2026, des connexions originaires de plages IP Starlink ont été observées, ainsi qu’une dégradation de la discipline opérationnelle avec des connexions directes depuis des adresses IP iraniennes (1).

Tableau TTPs MITRE ATT&CK

PhaseTechniqueID ATT&CK
Initial AccessSpearphishing AttachmentT1566.001
Initial AccessSpearphishing via SMST1566.003
Initial AccessValid Accounts — VPN (credential stuffing / brute force)T1078
ExecutionUser Execution — malicious fileT1204.002
ExecutionNSIS installer abuseT1059
ExecutionAutoIT script executionT1059.010
ExecutionPowerShell (AI-assisted wiper script)T1059.001
Defense EvasionProcess Hollowing (RegAsm.exe)T1055.012
Defense EvasionBYOVD — Bring Your Own Vulnerable DriverT1068
Defense EvasionObfuscation de scripts batchT1027
Lateral MovementPropagation via Group Policy logon scriptsT1484.001
CollectionData Staged — exfiltration via cloud storage (Storj, AWS S3)T1074
Command & ControlApplication Layer Protocol — Telegram APIT1071.001
Command & ControlNetBird (VPN mesh tunnel)T1572
ImpactDisk Content Wipe (MBR + fichiers)T1561.001
ImpactData DestructionT1485
ImpactDefacement — Internal (handala.gif déposé sur les drives)T1491.001

Sources : (1)(2)(3)(4)(15)

3. MALWARES & TOOLING

Handala Wiper (custom)

  • Nom : Handala Wiper (handala.exe / handala.bat)
  • Type : Wiper destructeur
  • Fonction : Écrasement du contenu des fichiers système, wiping MBR, propagation via Group Policy logon scripts depuis le Domain Controller. Le payload exécutable est lancé à distance depuis le DC sans être écrit sur le disque des machines cibles. Dépose en fin d’opération une image de propagande handala.gif sur tous les drives logiques (1)(3).
  • Canal C2 / particularités : Telegram API. Chaîne d’exécution : NSIS installer → AutoIT loader → process hollowing dans RegAsm.exe → BYOVD driver (3)(4).
  • Campagne d’identification : Phishing thématique CrowdStrike, juillet 2024 (3).

PowerShell Wiper (AI-assisted)

  • Nom : Script PowerShell (sans dénomination publique consolidée)
  • Type : Wiper secondaire
  • Fonction : Énumération et suppression de l’ensemble des fichiers dans les répertoires utilisateurs. Structure du code et commentaires détaillés indiquant un développement probable avec assistance IA (1).
  • Canal C2 : Group Policy logon scripts.
  • Campagne d’identification : Opérations Void Manticore 2025-2026 (1).

senvarservice-DC.exe

  • Nom : senvarservice-DC.exe
  • Type : Malware d’exfiltration
  • Fonction : Exfiltration de données via Telegram et plateformes de stockage cloud (AWS S3, Storj). Découvert par reverse-engineering (8).
  • Canal C2 : Telegram + cloud storage.
  • Campagne d’identification : Campagnes 2024-2025 (8).

Delphi-coded loader

  • Nom : Loader second stage (sans nom public consolidé)
  • Type : Loader
  • Fonction : Chargeur de second niveau codé en Delphi, composant d’un processus de chargement multi-étapes précédant le déploiement du wiper (10)(3).
  • Campagne d’identification : Documenté par Malpedia / Cisco Talos (3)(10).

Outils tiers utilisés

  • NetBird : tunnel VPN mesh pour le pivoting réseau (1)
  • NSIS (Nullsoft Scriptable Install System) : staging de payload (3)
  • AutoIT : injection de payload dans un processus Windows (3)
  • Wipers off-the-shelf et outils de suppression/chiffrement publics (1)
  • Plateformes de partage de fichiers commerciales (Storj, Mega) : distribution de charges malveillantes (8)
  • Microsoft Intune : détournement d’infrastructure MDM légitime, cas Stryker mars 2026 (7)

4. HISTORIQUE DES CAMPAGNES

PériodeCampagneCiblesVecteurOutillage
Déc. 2023Émergence — #OpIsraelEntités israéliennes variéesPhishing, defacementDDoS tools, defacement scripts (9)
2024 (continu)Campagnes de fuite de donnéesContractors défense israéliensPhishing, credential stuffing VPNHandala Wiper, exfiltration cloud (2)(9)
Juil. 2024Phishing thématique CrowdStrike — exploitation de la panne mondiale BSOD pour diffuser de faux outils de remédiationOrganisations israéliennesPhishing (PDF + archive malveillante)NSIS, AutoIT, Handala Wiper, BYOVD driver (2)(3)
Sep. 2024Soreq Nuclear Research Center — revendication d’exfiltration de ~197 Go de données de projets nucléaires classifiés ; évalué comme opération de guerre psychologique par l’INCD israélienCentre de recherche nucléaire israélienNon divulguéNon confirmé (2)
Nov. 2024Silicom — revendication d’exfiltration et wiping de 40 To de donnéesEntreprise tech israélienne SilicomNon divulguéWiper (8)
Jan. 2025Kindergarten PA Systems — compromission des systèmes d’alerte Maagar-Tec dans plus de 20 établissements scolaires ; sirènes déclenchées, messages menaçants diffusésSystèmes d’alerte civile israéliensCompromission système tiersAccès système d’urgence (2)
Fév. 2025Israeli Police — revendication d’exfiltration de 2,1 To incluant dossiers personnels, inventaires d’armes et profils psychologiques ; évalué comme compromission d’un vendor tiersPolice nationale israélienneCompromission vendorNon divulgué (2)(8)
Déc. 2025Compromission de comptes Telegram d’officiels politiques israéliens — session hijacking et ingénierie sociale ; compromission limitée aux comptes Telegram, non aux devicesPersonnalités politiques israéliennesSession hijacking, ingénierie socialeSS7, exploitation config. Telegram (5)
Mars 2026Stryker Corporation — attaque destructrice via détournement de Microsoft Intune pour émettre des commandes de wipe distant ; ~56 000 employés dans 61 pays impactésStryker Corp. (USA, global)Compromission comptes admin + abus MDM IntuneLiving-off-the-land via Intune (6)(7)

5. INDICATEURS DE COMPROMISSION (IOCs)

⚠️ Avertissement de péremption : Les IOCs ci-dessous sont issus de sources publiques datant de 2024-2026. Ils ont une durée de validité limitée. Toute utilisation dans un contexte de blocage ou de détection doit faire l’objet d’une vérification préalable de fraîcheur auprès de plateformes CTI temps réel. Ne pas utiliser comme base de blocage sans validation.

Patterns réseau caractéristiques

  • Connexions sortantes vers l’API Telegram pour le C2 (api.telegram.org) (1)(3)
  • Trafic VPN commercial originaire du segment 169.150.227.X historiquement associé aux opérations Handala (1)
  • Sessions initiées depuis des hostnames par défaut au format DESKTOP-XXXXXX / WIN-XXXXXX (1)
  • Depuis janvier 2026 : connexions depuis plages IP Starlink et adresses IP iraniennes directes (1)
  • Connexions vers Storj, Mega ou AWS S3 précédant un événement de destruction (exfiltration pré-wipe) (8)

Domaines historiques (sources publiques)

  • handala[.]cx — site original, désactivé
  • handala[.]to — site actif depuis mai 2024 (9)

Infrastructure régulièrement renouvelée. Se référer aux flux IOC temps réel listés ci-dessous.

Hachages publics documentés

Hachages associés au wiper (campagne juillet 2024) disponibles dans les sources (3)(4)(10)(14). Non reproduits dans cette fiche en raison de leur péremption rapide.

User-Agents anormaux observés

Aucun User-Agent spécifique consolidé dans les sources publiques consultées. L’usage de fichiers NSIS sans extension constitue une technique non conventionnelle susceptible de générer des signatures atypiques dans les proxies HTTP (3).

Sources IOCs temps réel recommandées

  • MITRE ATT&CK (groupes) (15)
  • Malpedia — Handala actor card (10)
  • Splunk Threat Research — Handala Wiper story (4)
  • SOCRadar IOC Radar (2)
  • Unit 42 Threat Brief Iran 2026 (6)
  • Check Point Research — Void Manticore (1)

6. DÉTECTION & CONTRE-MESURES

Technique prioritaire 1 — Phishing initial access (T1566.001 / T1566.003)

Logique de détection (SIEM/EDR) :

ALERT IF :
  email.attachment.extension IN [".pdf", ".zip", ".iso"]
  AND email.sender_domain NOT IN whitelist
  AND email.subject CONTAINS_ANY ["update", "fix", "remediation", "security", "alert"]
  AND process.name IN ["NSIS installer", "*.tmp", "AutoIT3.exe"]
  WITHIN 300s OF email.received

Outils recommandés : Règles YARA (signatures Trellix/Splunk), sandbox d’analyse pièces jointes, filtrage SMTP avec analyse comportementale (3)(4)(14).

Technique prioritaire 2 — Process Hollowing via RegAsm.exe (T1055.012)

Logique de détection (EDR) :

ALERT IF :
  process.name == "RegAsm.exe"
  AND process.parent NOT IN ["msbuild.exe", "devenv.exe", "legitimate_net_host"]
  AND process.has_network_connection == TRUE
  AND process.memory.injected == TRUE

Outils recommandés : EDR avec détection d’injection mémoire (CrowdStrike Falcon, SentinelOne), surveillance des processus .NET légitimes avec activité réseau anormale (3)(4).

Technique prioritaire 3 — Wiper via Group Policy (T1484.001 + T1561.001)

Logique de détection (SIEM) :

ALERT IF :
  event.source == "GroupPolicy"
  AND gpo.logon_script.added == TRUE
  AND gpo.logon_script.content CONTAINS_ANY ["handala", ".bat", "wipe", "del /f /s /q"]
  AND modified_by NOT IN ["change_management_accounts"]

Outils recommandés : Surveillance des changements GPO (Microsoft Defender for Identity), monitoring des scripts de logon (1)(4).

Technique prioritaire 4 — Abus MDM / Microsoft Intune (T1078 + T1485)

Logique de détection (SIEM / CASB) :

ALERT IF :
  source == "Intune"
  AND action IN ["device_wipe", "retire_device"]
  AND initiator.account NOT IN ["known_admin_accounts"]
  AND target.device_count > 5
  AND time NOT IN ["maintenance_windows"]

Outils recommandés : CASB avec monitoring des actions d’administration cloud, MFA phishing-resistant sur comptes admin M365/Intune, alerting sur wipe commands massives (6)(7).

Contre-mesures organisationnelles

  • Déploiement de MFA phishing-resistant (FIDO2/passkey) sur les accès VPN et comptes d’administration cloud (2)(6)
  • Revue des droits d’administration sur les plateformes MDM avec principe de moindre privilège et approbation à deux acteurs pour les opérations de wipe en masse (7)
  • Surveillance des modifications GPO : versioning et alerting sur tout ajout de logon scripts (1)(4)
  • Sensibilisation aux leurres d’ingénierie sociale exploitant l’actualité cybersécurité (3)
  • Résilience orientée wiper : sauvegardes offline testées, procédures de reconstruction système documentées, exercices PRA (8)
  • Segmentation réseau limitant la propagation latérale depuis le Domain Controller (1)
  • Blocage ou surveillance stricte des appels sortants vers api.telegram.org depuis les endpoints et serveurs (3)
  • Surveillance des transferts vers plateformes cloud non référencées (Storj, Mega) via proxy/CASB (8)
  • Intégration des flux IOC publics Handala/Void Manticore dans les plateformes SIEM/SOAR avec revue de fraîcheur hebdomadaire (2)(4)

SOURCES

  1. Check Point Research — « Handala Hack » — Unveiling Group’s Modus Operandi (mars 2026) : https://research.checkpoint.com/2026/handala-hack-unveiling-groups-modus-operandi/
  2. SOCRadar — Dark Web Profile: Handala Hack (mars 2026) : https://socradar.io/blog/dark-web-profile-handala-hack/
  3. Splunk / Cisco Talos — Handala’s Wiper: Threat Analysis and Detections (juillet 2024) : https://www.splunk.com/en_us/blog/security/handalas-wiper-threat-analysis-and-detections.html
  4. Splunk Threat Research — Analytics Story: Handala Wiper (juillet 2024) : https://research.splunk.com/stories/handala_wiper/
  5. KELA Cyber Intelligence — Handala Hack: Telegram Breach of Israeli Officials (janvier 2026) : https://www.kelacyber.com/blog/handala-hack-telegram-breach-israeli-officials/
  6. Unit 42 / Palo Alto Networks — Threat Brief: March 2026 Escalation of Cyber Risk Related to Iran (mars 2026) : https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/
  7. Securonix — Iran-backed Handala wiper attack devastates Stryker globally (mars 2026) : https://connect.securonix.com/threat-research-intelligence-62/iran-backed-handala-wiper-attack-devastates-stryker-globally-230
  8. OP Innovate — Disrupting Handala: Did OP Innovate Help Silence a Major Cyber Threat? (mai 2025) : https://op-c.net/blog/did-op-innovate-disrupt-handala-cyber-threat/
  9. Cyberint — Handala Hack: What We Know About the Rising Threat Actor (fév. 2025) : https://cyberint.com/blog/threat-intelligence/handala-hack-what-we-know-about-the-rising-threat-actor/
  10. Malpedia — Handala (Threat Actor) : https://malpedia.caad.fkie.fraunhofer.de/actor/handala
  11. Ransomlook — Handala details : https://www.ransomlook.io/group/handala
  12. Brandefense — Handala: The Rise Of A Decentralized Pro-Palestinian Hacktivist Collective (déc. 2025) : https://brandefense.io/blog/handala-apt-2025/
  13. Andrey Pautov / InfoSec Write-ups — CTI Research: Handala Hack Group (mars 2026) : https://medium.com/@1200km/cti-research-handala-hack-group-aka-handala-hack-team-ddbdd294cfb8
  14. Trellix — Handala’s Wiper Targets Israel : https://www.trellix.com/blogs/research/handalas-wiper-targets-israel/
  15. MITRE ATT&CK — Référentiel tactiques et techniques : https://attack.mitre.org/

Cette fiche est produite sur la base de sources publiques ouvertes (vendors, CERT, chercheurs indépendants) consolidées au 16 mars 2026. Elle ne repose sur aucune source classifiée. L’attribution à MOIS/Void Manticore est fondée sur la convergence de cinq vendors ou plus et de sources gouvernementales publiques ; elle doit être traitée comme une évaluation de cluster à haute confiance, non comme une preuve exclusive pour chaque incident revendiqué. Les IOCs présentent une durée de vie limitée et doivent être validés avant tout usage opérationnel. Fiche distribuable sans restriction (TLP:CLEAR).