文章总结： 本文深入分析了与伊朗有关联的黑客组织HandalaHack，揭示其为伊朗情报部下属的VoidManticore攻击矩阵核心。该组织自2023年以来，战术不断演进，从早期针对特定国家的间谍活动，发展到近期利用AI技术和零信任工具（如NetBird）对医疗、金融等关键基础设施实施毁灭性数据擦除攻击。2026年3月，该组织密集攻击了财富500强企业Stryker、支付系统Verifone及FBI局长个人邮箱等目标。文章还提供了其战术演进路径、关键恶意指标（IOCs）及防御建议。 综合评分： 90 文章分类： 威胁情报,APT,网络安全,漏洞分析,恶意软件

伊朗国家APT组织Handala Hack 攻击组织溯源与威胁演进

原创

ZM ZM

暗镜

2026年4月1日 06:01 北京

2026 年 3 月 11 日，财富 500 强企业、全球医疗器械和设备领导者 Stryker 公司遭受了一次严重的破坏性网络攻击。此次攻击由Handala Hack发起，Handala Hack 是一个亲巴勒斯坦、与伊朗有关联的黑客组织。多家情报公司评估认为，Handala Hack 是Void Manticore（也被称为 Red Sandstorm、Banished Kitten）的幌子，而 Void Manticore 是伊朗情报和安全部 (MOIS)的一个附属组织。该组织以数据擦除 + 黑客泄露为核心模式，从 2023 年首次公开活动至今，已从以色列、阿尔巴尼亚扩展至美国关键企业，形成 “历史铺垫 — 战术迭代 — 近期爆发 — 趋势升级” 的完整攻击脉络。本文结合开源情报全面还原其组织溯源、战术演进、关键事件与防御体系。

一、组织溯源：MOIS 驱动的多品牌协同作战实体

Handala Hack 并非独立黑客团体，而是伊朗 MOIS 主导的多品牌协同攻击矩阵核心，与 Homeland Justice、Karma 共享技术栈、代码与基础设施，三者同属 Void Manticore 统一指挥。

（一）身份与指挥脉络

公开身份：2023 年 12 月首次以 “Handala Hack” 名义现身，以巴勒斯坦卡通形象为标识，伪装成亲巴勒斯坦黑客组织，实则为 MOIS 旗下 Void Manticore 的公开行动 persona。

指挥关联：活动直接受 MOIS 内部安全副局长、反恐部门负责人 Seyed Yahya Hosseini Panjaki 指挥，该负责人 2026 年 3 月初在以色列打击中身亡，或引发组织短期战术调整。

协同网络：与伊朗另一威胁组织Scarred Manticore资源共享、受害者重叠；Karma 与 Handala 曾采用 “前端声明、后端泄露” 分工模式，2025 年后逐步整合为单一主力品牌。

（二）历史定位与早期活动（2022—2025）

2022 年中：Void Manticore 启动Homeland Justice品牌，针对伊朗异见人士、以色列官员实施钓鱼与数据泄露，为 Handala 后续行动铺垫基础设施与技术能力。

2023 年 12 月：Handala Hack 首次公开行动，攻击阿尔巴尼亚政府网络，窃取并泄露敏感数据，标志其从隐蔽间谍活动转向公开破坏 + 舆论战模式。

2024—2025 年：聚焦以色列关键领域（政府、电信、医疗），实施多轮擦除攻击；2025 年 7 月针对伊朗异见人士发动大规模 “黑客泄露” 行动，FBI 证实其使用 Telegram C2 与定制恶意软件。

2025 年 10 月：协同伊朗关联人员借 **Qilin 勒索软件即服务（RaaS）** 攻击以色列沙米尔医疗中心，窃取 8TB 患者数据，以 “商业勒索” 为掩护执行战略破坏，开创 “国家 APT + 黑产工具” 混合模式。

二、近期爆发：2026 年 3 月全球关键目标密集攻击

2026 年 3 月，Handala Hack 进入高强度攻击周期，以 “报复美以军事打击” 为名义，对美国、以色列核心企业实施多起破坏性攻击，成为伊朗国家级网络战的核心力量。

（一）Stryker 医疗巨头攻击（2026年 3 月 11 日）

目标：全球医疗设备巨头 Stryker（年收入超 250 亿美元），其产品支撑全球医院临床运营。

攻击规模：擦除全球 79 个国家20 万台设备数据，窃取 50TB 敏感信息，篡改登录页面并留下 Handala 标识。

战术细节：利用微软 Intune 平台内置 “设备擦除” 功能，结合定制 Wiper 与 AI 辅助PowerShell 擦除器，并行实施四重数据销毁；通过 NetBird 零信任隧道实现内网横向移动，手动操控多台跳板机同步破坏。

影响：Stryker 全球业务瘫痪，爱尔兰工厂关停，美国马里兰州部分医院被迫中断系统连接，临床沟通依赖无线电，直接威胁医疗安全。

（二）Verifone 支付系统攻击（2026年 3 月 11 日）

同日攻击支付解决方案提供商 Verifone，宣称造成全球支付系统中断，与 Stryker 攻击形成双目标协同打击，覆盖医疗与金融两大关键领域。

（三）FBI 局长个人邮箱入侵（2026年 3 月）

攻破 FBI 局长 Gmail 账户，窃取内部通信并公开，以 “羞辱性打击” 强化舆论影响，暴露其精准针对高价值个人目标的能力。

（四）以色列安全官员攻击（2026 年3 月 12 日）

攻击以色列安全机构伊朗事务负责人 Razzi Mmt，窃取并泄露敏感文件，直接针对地缘政治核心人物。

三、战术演进：从传统 APT 到 AI赋能的破坏性攻击（关联历史手法）

Handala Hack 战术呈现**“传统坚守 + 创新叠加”** 的演进路径，融合 Void Manticore 历史 APT 手法与 2026 年新型破坏技术，攻击链更隐蔽、更高效、更具毁灭性。

（一）初始接入：供应链 + VPN 暴力破解（历史延续）

历史手法（2023—2025）：主攻 IT 服务商供应链，窃取合法凭证；高频暴力破解企业 VPN，流量源自伊朗本土 IP 与商业 VPS。

2026 创新：大量使用Starlink IP 段规避封堵，部分操作暴露伊朗本土 IP，运维安全松懈；攻击主机采用 Windows 默认命名（DESKTOP-XXXXXX），易被行为检测识别。

（二）内网潜伏：长期驻留 + 权限窃取（历史成熟打法）

延续 Void Manticore 经典战术：提前数月潜入网络，关闭 Windows Defender，通过rundll32+comsvcs.dllDump LSASS 内存、导出注册表，配合 ADRecon 枚举 AD环境，快速获取域管权限。

2026 新增：利用 WMIC 远程执行命令，从域控制器直接投递载荷，减少磁盘落地痕迹，提升隐蔽性。

（三）横向移动：RDP 为主 + 零信任隧道突破（2026 核心创新）

历史手法：核心依赖 RDP 手动逐机渗透，操作高度人工化。

2026 突破：创新使用NetBird零信任网格工具，在受控主机手动部署，构建内网加密隧道，打通隔离区域，实现多点同步操控，横向移动速度提升 50%以上。

（四）破坏阶段：四重擦除并行 + AI 赋能（2026 毁灭性升级）

对比 2023—2025 年单一 Wiper 攻击，2026 年采用多手段叠加摧毁，确保数据不可恢复：

Handala Wiper（定制化）：通过组策略登录脚本、计划任务全网分发，覆盖文件并破坏 MBR，系统无法启动。

AI 辅助 PowerShell 擦除器：自动递归删除 C:\Users 目录文件，代码由 AI 生成，适配性强、执行高效。

VeraCrypt 武器化：下载正版磁盘加密工具加密系统盘，增加恢复难度。

手动销毁：登录虚拟化平台删除虚拟机、批量删文件，手段粗暴有效。

（五）ATT&CK 映射（关联历史战术）

| ATT&CK Tactic | Technique | Observed Activity | | — | — | — | | Initial Access | T1133 – External Remote Services | Use of compromised VPN access for entry into victim environments. | | Initial Access | T1078.002 – Valid Accounts: Domain Accounts | Use of stolen/supplied credentials, including Domain Admin credentials. | | Initial Access | T1199 – Trusted Relationship | Targeting of IT and service providers. | | Credential Access | T1110 – Brute Force | Repeated logon and brute-force attempts against VPN infrastructure. | | Credential Access | T1003.001 – OS Credential Dumping: LSASS Memory | LSASS dumping via rundll32 and comsvcs.dll. | | Credential Access | T1003.002 – OS Credential Dumping: Security Account Manager | Export of sensitive registry hives for credential extraction. | | Discovery | T1087.002 – Account Discovery: Domain Account | ADRecon used to enumerate the Active Directory environment. | | Lateral Movement | T1021.001 – Remote Services: Remote Desktop Protocol | Extensive hands-on lateral movement over RDP. | | Command and Control | T1572 – Protocol Tunneling | NetBird used to tunnel traffic and reach internal hosts. | | Execution | T1105 – Ingress Tool Transfer | NetBird and VeraCrypt downloaded directly onto victim systems. | | Execution | T1047 – Windows Management Instrumentation | WMIC was used to run commands. | | Execution / Persistence | T1484.001 – Group Policy Modification | Wipers distributed via GPO. | | Execution / Persistence | T1037.003 – Network Logon Script | Logon scripts used to trigger destructive components. | | Execution | T1053.005 – Scheduled Task | Handala wiper launched as a scheduled task. | | Execution | T1059.001 – PowerShell | AI-assisted PowerShell wiper used for destructive activity. | | Impact | T1561.002 – Disk Structure Wipe | MBR-based wiping by the custom Handala wiper. | | Impact | T1485 – Data Destruction | File deletion, manual deletion, and destructive cleanup. | | Impact | T1486 – Data Encrypted for Impact | VeraCrypt used to encrypt disks as part of the attack. |

四、关键 IOC 与基础设施（关联历史恶意指标）

IOCs

| Type | IOC | | — | — | | Handala Wiper | 5986ab04dd6b3d259935249741d3eff2 | | Handala Powershell Wiper | 3cb9dea916432ffb8784ac36d1f2d3cd | | VeraCrypt Installer | 3236facc7a30df4ba4e57fddfba41ec5 | | NetBird Installer | 3dfb151d082df7937b01e2bb6030fe4a | | NetBird | e035c858c1969cffc1a4978b86e90a30 | | Handala VPS | 82.25.35[.]25 | | Handala VPS | 31.57.35[.]223 | | Handala VPS | 107.189.19[.]52 | | VPN exit node used by Handala | 146.185.219[.]235 | | Starlink IP range used by Handala | 188.92.255.X | | Starlink IP range used by Handala | 209.198.131.X | | Commercial VPN IP range used by Handala | 149.88.26.X | | Commercial VPN IP range used by Handala | 169.150.227.X |

| Handala Machine Names | | — | | WIN-P1B7V100IIS | | DESKTOP-FK1NPHF | | DESKTOP-R1FMLQP | | WIN-DS6S0HEU0CA | | DESKTOP-T3SOB36 | | WIN-GPPA5GI4QQJ | | VULTR-GUEST | | DESKTOP-HU45M79 | | DESKTOP-TNFP4JF | | DESKTOP-14O69KQ | | DESKTOP-9KG46L1 | | DESKTOP-G2MH4KD | | WIN-DS6S0HEU0CA | | WIN-GPPA5GI4QQJ |

五、攻击启示

基于 Handala Hack 2023—2026 年战术演进，防御方需构建

**“事前预防 — 事中检测 — 事后恢复”** 的全链路体系，重点针对其核心弱点：

（一）事前预防（针对初始接入）

强认证管控：远程访问、特权账户强制启用 MFA；监控非工作时段、陌生地域、首次设备登录，拦截 VPN 暴力破解。

高风险来源封堵：边界封禁伊朗 IP 段，严格限制 Starlink 及报告所列商业 VPN 段访问；仅保留业务必需远程入口，启用条件访问策略。

供应链安全：审计第三方服务商访问权限，定期轮换凭证，杜绝供应链跳板风险。

（二）事中检测（针对内网潜伏与横向移动）

终端防护加固：启用 LSASS Dump、可疑 PowerShell 行为拦截；监控 NetBird、VeraCrypt 等工具异常部署，阻断非法隧道。

内网行为审计：禁用非必要 RDP，限制默认主机名设备访问；审计组策略篡改、登录脚本注入，及时发现横向移动痕迹。

AI 辅助检测：部署 AI 威胁狩猎工具，识别 AI 生成擦除器、异常批量删除行为，弥补传统规则盲区。

（三）事后恢复（针对数据破坏）

离线备份机制：建立多副本、离线备份，定期演练恢复流程，应对 MBR 破坏、数据加密场景。

快速响应预案：制定 Handala Hack 专项应急流程，明确擦除攻击后的隔离、取证、恢复步骤，缩短业务中断时长。

六、威胁趋势：从地缘报复到全球关键基础设施威胁

（一）目标持续扩张

从以色列、阿尔巴尼亚扩展至美国能源、医疗、制造、金融等关键基础设施，2026 年 3 月攻击已覆盖医疗（Stryker）、金融（Verifone）、政府（FBI）三大核心领域。

（二）手法快速迭代

AI 辅助开发、合法软件武器化、零信任隧道滥用等手段将被更多伊朗系组织（如 MuddyWater、OilRig）效仿，检测难度指数级提升。

融合国家 APT + 黑产工具（如RaaS），降低攻击成本、提升隐蔽性，形成 “混合威胁” 新模式。

（三）协同作战增强

与 Scarred Manticore、Charming Kitten（APT35）等伊朗系组织深度联动，形成分布式攻击集群，单一防御手段难以有效抵御。

（四）地缘政治驱动

攻击直接响应美以军事行动（如 2026 年 3 月伊朗 “真实承诺 – 4” 攻势），网络战成为伊朗地缘博弈的核心手段，威胁将随中东冲突持续升级。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《伊朗国家APT组织Handala Hack 攻击组织溯源与威胁演进》