Wybierz Stronę

Handala Hack – jak działa grupa stojąca za cyberatakami na firmy i instytucje

mar 14, 2026 | Cyberflux

W ostatnich miesiącach nazwa Handala pojawiała się w kontekście kilku głośnych incydentów cyberbezpieczeństwa, w tym ataku na firmę medyczną Stryker. Nowa analiza opublikowana przez Check Point Research pokazuje jednak, że Handala to nie tylko pojedyncza grupa, lecz element większego ekosystemu operacji cybernetycznych powiązanych z Iranem.  

Badacze opisują Handala jako jedną z publicznych „person” wykorzystywanych przez aktora znanego w środowisku cyber threat intelligence jako Void Manticore, powiązanego z irańskim Ministerstwem Wywiadu i Bezpieczeństwa (MOIS).  

1. Co się dzieje

Według raportu Check Point Research Handala jest jedną z kilku tożsamości używanych przez ten sam aktor. Oprócz niej wykorzystywane były również:

  • Homeland Justice
  • Karma

Persony te służą do prowadzenia operacji w różnych regionach i kontekstach politycznych. Na przykład Homeland Justice była używana w kampaniach przeciwko instytucjom w Albanii, podczas gdy Handala koncentruje się głównie na celach związanych z Izraelem oraz – w ostatnim czasie – również na firmach amerykańskich.  

Ataki prowadzone przez tę grupę często mają charakter hack-and-leak oraz destrukcyjnych operacji typu wiper, których celem jest nie tylko kradzież danych, ale także zakłócenie działania organizacji.  

2. Jak wygląda modus operandi grupy

Jednym z ciekawszych wniosków raportu jest to, że działania Handala są stosunkowo proste technicznie, ale skuteczne operacyjnie.

Badacze wskazują kilka charakterystycznych elementów:

ręczne operacje w sieci ofiary

Grupa często działa bez dużej automatyzacji, prowadząc tzw. hands-on-keyboard activity, czyli ręczne działania administratora w przejętej infrastrukturze.  

wykorzystanie publicznych narzędzi

Zamiast zaawansowanego malware często używane są:

  • open-source offensive tools
  • narzędzia administracyjne systemu
  • komercyjne usługi VPN.

To utrudnia wykrycie ataku, ponieważ ruch wygląda podobnie do normalnej aktywności administracyjnej.  

narzędzia do niszczenia danych

Grupa znana jest z używania wielu metod usuwania danych jednocześnie, w tym tzw. wiperów, których celem jest trwałe zniszczenie systemów ofiary.  

3. Nowe techniki obserwowane w kampaniach

Raport wskazuje również kilka nowych elementów pojawiających się w ostatnich operacjach.

Jednym z nich jest użycie narzędzia NetBird, które pozwala tworzyć tunel sieciowy i uzyskać trwały dostęp do sieci ofiary.  

Badacze odnotowali również przypadki użycia skryptów PowerShell wspomaganych przez AI, wykorzystywanych do operacji niszczenia danych.  

To pokazuje ciekawą ewolucję: nawet aktorzy państwowi zaczynają eksperymentować z elementami automatyzacji opartymi na AI.

4. Dlaczego Handala używa wielu tożsamości

W cyber threat intelligence takie strategie określa się jako persona-based operations.

Zamiast jednej grupy pojawia się kilka pozornie niezależnych organizacji.

Powody są dwa:

  • zwiększenie wiarygodności operacji hacktywistycznych
  • utrudnienie atrybucji.

W przypadku Handala nazwa i symbolika nawiązują do postaci palestyńskiego bohatera komiksowego, często używanego jako symbol oporu politycznego.  

5. Operacje cyber jako element konfliktu geopolitycznego

Raport Check Point wpisuje działalność Handala w szerszy kontekst.

Cyberoperacje są coraz częściej wykorzystywane jako narzędzie:

  • presji politycznej
  • działań psychologicznych
  • destabilizacji przeciwnika.

Ataki typu hack-and-leak są szczególnie skuteczne w tym modelu, ponieważ łączą element techniczny z efektem medialnym.

Co sprawdzić w swojej organizacji

Choć działania grup takich jak Handala często są powiązane z konfliktami geopolitycznymi, ich techniki są stosunkowo uniwersalne.

Warto zwrócić uwagę na:

  • monitoring nietypowych logowań VPN
  • ograniczenie dostępu administracyjnego
  • wykrywanie narzędzi ofensywnych w systemach
  • szybkie reagowanie na anomalie w PowerShell.


Model zagrożenia: agent jako wektor ataku

Internet

złośliwa treść / prompt injection

agent AI

analiza kontekstu

interakcja z systemami firmy

eksploit / eskalacja uprawnień

dane organizacji

Cyberflux

Analiza Check Point pokazuje, że w wielu przypadkach skuteczność operacji cybernetycznych nie wynika z przełomowych exploitów.

Często decydują o niej:

  • dostęp do infrastruktury
  • ręczna aktywność operatorów
  • wykorzystanie prostych narzędzi w odpowiednim momencie.

To przypomnienie, że w cyberbezpieczeństwie najgroźniejsze ataki nie zawsze są najbardziej zaawansowane technologicznie.

Źródło

Prompt injection po erze prostych analogii. Prawdziwy problem zaczyna się tam, gdzie agent może działać

Prompt injection po erze prostych analogii. Prawdziwy problem zaczyna się tam, gdzie agent może działać

WordPress 6.9.4 – dlaczego po jednej poprawce bezpieczeństwa pojawiły się trzy szybkie wydania

WordPress 6.9.4 – dlaczego po jednej poprawce bezpieczeństwa pojawiły się trzy szybkie wydania

OpenClaw i nowy model cyberataków na agentów AI

OpenClaw i nowy model cyberataków na agentów AI

Handala Hack – jak działa grupa stojąca za cyberatakami na firmy i instytucje

Handala Hack – jak działa grupa stojąca za cyberatakami na firmy i instytucje

AI jako nowy insider. Gdy agent zaczyna hakować system, w którym pracuje

AI jako nowy insider. Gdy agent zaczyna hakować system, w którym pracuje

Cyberatak na firmę medyczną Stryker. Gdy cyberwojna uderza w sektor ochrony zdrowia

Cyberatak na firmę medyczną Stryker. Gdy cyberwojna uderza w sektor ochrony zdrowia

Cyberatak na Narodowe Centrum Badań Jądrowych. Co pokazuje ten incydent o bezpieczeństwie instytucji badawczych

Cyberatak na Narodowe Centrum Badań Jądrowych. Co pokazuje ten incydent o bezpieczeństwie instytucji badawczych

Masz starszego iPhone’a? Apple właśnie załatało luki wykorzystywane w realnych atakach

Masz starszego iPhone’a? Apple właśnie załatało luki wykorzystywane w realnych atakach

Fake CAPTCHA wraca w Polsce. Jedno kliknięcie może otworzyć drogę do infekcji całej firmy

Fake CAPTCHA wraca w Polsce. Jedno kliknięcie może otworzyć drogę do infekcji całej firmy

CERT Polska ostrzega: rośnie liczba ataków na konta administratorów w usługach chmurowych

CERT Polska ostrzega: rośnie liczba ataków na konta administratorów w usługach chmurowych

Jak jedna luka w pluginie WordPress pozwala przejąć tysiące stron

Jak jedna luka w pluginie WordPress pozwala przejąć tysiące stron

Android, AI i nowa generacja oszustw. Zagrożenia stają się sprytniejsze, nie tylko głośniejsze

Android, AI i nowa generacja oszustw. Zagrożenia stają się sprytniejsze, nie tylko głośniejsze

Przeglądarka pod ostrzałem. Dlaczego luka w Chrome znów pokazuje, jak krucha bywa warstwa webowa

Przeglądarka pod ostrzałem. Dlaczego luka w Chrome znów pokazuje, jak krucha bywa warstwa webowa

ARIA jako wektor ataku na agentów AI. Czy OpenAI Atlas jest na to gotowy?

ARIA jako wektor ataku na agentów AI. Czy OpenAI Atlas jest na to gotowy?

Ransomware oparte na AI – przełom, który już się wydarzył. Co oznacza odkrycie ESET sprzed kilku miesięcy?

Ransomware oparte na AI – przełom, który już się wydarzył. Co oznacza odkrycie ESET sprzed kilku miesięcy?