文章总结： 本文深度剖析伊朗情报部背景的黑客组织Handala，详述其利用擦除器恶意软件攻击医疗巨头Stryker及关键基础设施的技战术。该组织混合使用心理战、众包情报平台及真实网络破坏手段，模糊了国家行为体与黑客行动主义的界限。文章归纳其攻击时间线与组织画像，建议企业强化身份验证与补丁管理，以应对此类兼具破坏力与政治目的的国家级混合威胁。 综合评分： 88 文章分类： 威胁情报,恶意软件,实战经验,安全建设

从医疗巨头到供水设施：伊朗Handala黑客组织的攻击技战术演进

原创

网空闲话 网空闲话

网空闲话plus

2026年3月13日 07:07 北京

2026年3月11日，美国医疗设备巨头Stryker Corporation遭遇重大网络攻击。一个自称“Handala Hack”的组织宣布对此负责，声称这是对“伊朗米纳布学校遭受攻击”及“针对抵抗轴心基础设施的网络侵略”的报复。该组织宣称，已使用擦除器（Wiper）恶意软件清除了Stryker的20万台设备，并窃取50TB数据。Stryker在监管文件中证实系统遭破坏，恢复时间“尚未确定”，虽然后续表示攻击已“受控”，但此次事件仍引发全球哗然。Stryker攻击之所以引人注目，不仅因其目标规模（年收入超250亿美元），更因其象征意义——正如Sentara Health首席技术官Jeff Thomas所言：“攻击医疗企业，就如同攻击维持生命的设施。”这一事件成为外界深入观察伊朗国家级黑客行为体Handala的绝佳切口。本文将基于该组织2026年3月以来的密集活动，系统梳理其攻击时间线，剖析其技战术手法（TTPs），并勾勒其真实画像。

一、组织归属：披着“黑客行动主义”外衣的国家情报工具

Handala绝非普通的亲巴勒斯坦黑客组织。根据Check Point Research、Microsoft、Crowdstrike等多方确认，该组织实为伊朗情报部（Ministry of Intelligence）旗下黑客团队的公开“幌子”。其在不同威胁情报体系中的追踪名包括：Void Manticore（Check Point）、Storm-0842（Microsoft）及Banished Kitten（Crowdstrike）。

DarkTower威胁情报总监Gary Warner指出，Handala“与众多回应冲突的黑客行动主义团体不属于同一层次”。该组织自2023年底加沙冲突爆发后迅速崛起，利用“亲巴勒斯坦”的人设，为伊朗情报部门提供了政治掩护与行动灵活性。正如Flashpoint所观察，Handala的活动体现了伊朗将冲突“从纯粹的军事对抗转变为全面的经济和技术战争”的战略意图。

二、三月攻势：多维打击与心理战全景

2026年3月，Handala的攻击活动呈现高频、多域、混合真伪的特点。以下是基于其Telegram频道及安全机构验证的关键行动时间线：

• 3月2日-3日：宣称攻击以色列油气勘探公司Israel Opportunity Energy；攻击阿联酋Sharjah National Oil Corporation，声称窃取1.3TB数据；宣称瘫痪沙特Aramco基础设施。
• 3月4日：攻击以色列国家安全研究所（INSS）。
• 3月5日：攻击以色列海洋保险公司Atlas Insurances Ltd。
• 3月6日：攻击以色列国防军波斯语社交媒体页面，获取关联人员信息；攻击Sanzer Hasidic社区。
• 3月7日：这是一个关键的组织建设节点。Handala高调宣布开通新 Telegram频道（https：//t.me/HANDALA_HPR2），此时其已有3个活跃频道，历史上有18个因违规被关闭，显示出极强的渠道韧性。同日，宣称攻击“耶路撒冷供水设施”，窃取423GB数据并瘫痪系统；还宣称瘫痪以色列“政府和军用气象站”。
• 3月8日：宣称“完全渗透”以色列气象系统主服务器。
• 3月9日：宣称获取“耶路撒冷安防摄像头”完全访问权限；公布50名以色列空军高级军官的详细信息。
• 3月11日：攻击支付解决方案提供商Verifone，宣称造成支付系统中断；同日，发动对Stryker的擦除器攻击，达到本轮攻势的高潮。
• 3月12日：攻击以色列安全机构伊朗事务负责人Raz Zimmt，宣称“解锁了他的整个世界”。

重要辨析：正如网络安全界普遍认知，Handala“使用网络行动和谎言的混合手段”。Check Point的Sergey Shykevich提醒，“许多黑客组织在Telegram上非常活跃，但实际上并无重大成功”。因此，上述宣称需结合独立验证看待，但其攻击意图和指向性已非常明确。

三、技战术手法（TTPs）深度剖析

综合多方分析，Handala的作战方式呈现出高度混合的特征：

1. 初始访问：机会主义与长期潜伏

针对Stryker的攻击显示，攻击者很可能已“预先部署”在受害者环境中，获得Active Directory访问权限后，选择在3月11日使用Microsoft Intune端点管理工具远程触发清除。Halcyon的Cynthia Kaiser因此建议企业严格审查Intune任务。Check Point则认为，Handala更擅长“利用偶然发现的弱点”，Stryker攻击虽有精心策划的痕迹，但也可能是一次幸运的“机会主义”打击。

2. 执行：定制化擦除器（Wiper）

Handala以使用定制擦除器闻名。其开发的 “Bibi Wiper”（以内塔尼亚胡绰号命名）最早见于2023年10月。该恶意软件先加密文件（后缀.bibi），再外泄并删除原文件，兼具破坏与数据窃取功能。这种方法沿袭自2012年针对沙特阿美的Shamoon攻击传统——将恶意软件伪装成系统“补丁”全网部署。

3. 众包情报：悬赏与物理威胁的结合

Handala最独特的战术是运营众包平台。2025年10月，该组织推出 “handala-redwanted.to”，悬赏招募个人执行网络间谍任务。截至2026年1月，针对“一级情报目标”（如摩萨德信号情报官员）的最高悬赏达5万美元。目标范围持续扩大，包含以色列军事情报局（Aman）人员、高级军官等。FalconFeeds.io警告，这直接制造了“针对性暴力、绑架或暗杀企图的威胁”，可能吸引有组织犯罪团伙或外国代理人参与。

4. 心理战：象征性打击与夸大宣传

Handala深谙心理战。攻击医疗、供水、能源等“维持生命”的设施，意在制造最大范围的恐惧与社会混乱。同时，其常夸大攻击效果（如部分宣称遭目标否认），旨在放大自身威慑力。Inversion6的CISO Ian Thornton-Trump指出，伊朗正通过推高油价影响美国国内政治，让“中东战争的代价就在加油站”。

四、组织画像：一个混合型国家网络行为体

基于上述信息，可为Handala构建如下多维画像：

• 隶属：伊朗情报部官方黑客团队（Void Manticore/Storm-0842）的公开幌子。
• 战略目标：支持德黑兰对抗美以；破坏敌对国关键基础设施；通过心理战影响国际舆论及美国国内政治（如油价与选举）。
• 目标范围：核心为以色列政府、国防、关键基础设施；已扩大至海湾国家（沙特、阿联酋）能源企业；近期延伸至与以色列供应链相关的美国企业。
• 核心能力：擅长开发定制擦除器；精通端点管理工具武器化；通过众包平台构建分布式情报网；具备频道韧性（频繁更换Telegram账号）。
• 行动哲学：机会主义与预先部署并重；象征性打击优先；混合真实攻击与夸大宣传以混淆视听。

结语

Handala代表了伊朗国家网络力量的一种新型投射：它模糊了国家行为体与黑客行动主义者之间的界限，将高度破坏性的技术能力与低成本的众包情报相结合。Stryker攻击绝非孤立事件，而是其长期战略的一环。当此类组织瞄准医疗技术公司时，正如Chaunda C. Dallas所言，“多因素认证和快速补丁不仅是网络安全最佳实践，更是患者安全控制措施。”在一个Handala所代表的威胁日益常态化的时代，防御者必须学会在这种“信号与噪声”的混杂中，准确识别并抵御真正的致命打击。

参考资源

1、与德黑兰有关联的“假冒黑客”黑客组织Handala内部

2、#opisrael #iran #telegram #stryker #handala #darktower | Gary Warner

3、#iran #hactivism #datadeletion #cyberoperations #cyberattack #cybersecurity | Cynthia Kaiser

4、https://handala-hack.to/

5、https://cyberscoop.com/stryker-cyberattack-iranian-hackers-handala/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《从医疗巨头到供水设施：伊朗Handala黑客组织的攻击技战术演进》