文章总结： 该文档揭示Handala黑客组织实为伊朗情报与安全部（MOIS）协调的网络影响力生态系统，其通过HomelandJustice、Karma等多品牌矩阵将低技术入侵与精密心理操作结合。核心发现包括利用Telegram双重角色进行C2与舆论放大、演进至攻击企业控制平面（如Stryker事件中武器化Intune平台），以及将有限技术访问转化为高强度叙事杠杆的战略模式。可操作建议强调需防范身份管理漏洞及合法工具滥用。 综合评分： 85 文章分类： 威胁情报,漏洞分析,红队,网络安全,恶意软件

从阿尔巴尼亚到Stryker：Handala黑客的真实身份与演进之路

原创

网空闲话 网空闲话

网空闲话plus

2026年4月22日 07:10 北京

在小说阅读器读本章

去阅读

2026年3月至4月，一系列高调的网络攻击事件持续冲击着全球舆论：美国医疗设备巨头Stryker被宣称遭遇12PB数据擦除、FBI局长Kash Patel的个人电子邮件被公开、以色列8200部队“伊朗事务处”80名情报官员身份被曝光、耶路撒冷供水系统被声称入侵……这些事件的共同署名者是一个名为“Handala”的黑客组织。然而，Handala并非孤立行动者。在过去四年中，类似的高调攻击还曾以“Homeland Justice”（国土正义）和“Karma”（业力）的名义出现。它们之间究竟是什么关系？Handala到底是谁？背后又隐藏着怎样的战略意图？根据多家研究机构对美国政府报告、私营部门威胁情报、被动式DNS数据、域名注册记录以及Telegram和存档网页内容的长期追踪分析，一份发布于2026年4月15日的高度可信评估得出结论：Handala、Homeland Justice和Karma并非各自独立的黑客行动主义团体，而是一个与伊朗情报与安全部（MOIS）保持一致的、协调统一的网络影响力生态系统。这些名称仅仅是同一套底层能力之上的“操作外衣”，用于实现受众细分、信息传递差异化和归因混淆。

一、真实身份：MOIS的国家机器，而非独立黑客

研究人员的核心结论直截了当：这些活动“最清晰的理解并非将其视为意识形态相近的松散联盟，而是将其视为伊朗情报与安全部（MOIS）授权下开展的、结构化的、国家主导的行动。”

这一评估的核心支撑点在于一个关键人物——赛义德·叶海亚·侯赛尼·潘贾基（Seyed Yahya Hosseini Panjaki）。此人被评估为与MOIS有关联，并与其内部安全和反恐机构有联系。分析指出，这一认定的意义“不在于具体操作者的身份，而在于其所蕴含的结构性意义”——他的角色代表了机构层级中的指挥职能，表明这些网络行动受到正式的任务分配、监督和战略协调。

换言之，这不是承包商主导或“半可否认”的代理人活动，而是将网络行动融入伊朗国家情报授权的正式组成部分。研究人员进一步指出：“指挥权、模块化能力和多域执行能力的融合，凸显了MOIS网络作战已发展成为国家力量的完全一体化工具。”

二、品牌矩阵：三副面孔，同一台引擎

研究机构将这一生态系统描述为“操作外衣”体系。三个品牌各司其职，却共享同一套能力池、基础设施和行动手法：

• Homeland Justice（国土正义）：扮演“破坏与惩罚之臂”。2022年针对阿尔巴尼亚政府基础设施的攻击是其代表作——长期入侵、数据窃取、勒索软件式加密、磁盘擦除、公开归因，一气呵成。这是一种“校准升级”模式，旨在对目标施加运营和声誉双重成本。其攻击手法包括使用GoXML.exe作为加密载荷、cl.exe作为磁盘擦除器，以及Error4.aspx等Webshell维持持久性。
• Karma / KarmaBelow80：充当“适应性接口”。这一身份可在不同行动阶段灵活部署，增强了可否认性，同时保持行动效果的连续性。2023年10月以色列-哈马斯冲突后，该品牌被用于针对以色列实体的攻击。其工具集包括“Karma Shell”Webshell、do.exe凭证验证工具，以及跨平台的BiBi Wiper擦除器。
• Handala：最贴近“心理与信息作战”。其活动特点是精心策划的泄露、叙事塑造以及带有政治共鸣材料的刻意放大。研究人员指出，“泄密的时机和框架表明与更广泛的信息传递目标存在协调，技术入侵只是更大影响力周期的一个阶段。”

值得注意的是，“Handala”这一名称本身并非随机选取。它是巴勒斯坦漫画家纳吉·阿里创作的著名象征——一个赤脚、背对世界的孩子，以抗议不公与剥夺。采用这一身份，旨在将行动锚定在更广泛的“抵抗”叙事中，传递反以色列、反西方的主题信号。

三、行动演进：从破坏到融合的四步跃迁

这一生态系统的能力并非一成不变，而是呈现出清晰的叠加式演进轨迹。

第一阶段（2022年，阿尔巴尼亚）：确立了基础模型——长期隐蔽访问、结构化数据窃取、破坏性行动、即时公开披露。攻击者在公开影响阶段前约14个月就利用微软SharePoint漏洞完成初始渗透，体现了MOIS行动中常见的长期入侵策略。他们在被攻陷的服务器上部署Webshell，通过RDP、SMB、FTP等标准管理协议横向移动，并最终获取了对微软Exchange邮件服务器的访问权限。

第二阶段（2023年末，No-Justice Wiper）：破坏性工具得到精炼。名为“No-Justice Wiper”的新型擦除器（相关二进制文件包括Ptable.exe/NACL.exe）旨在快速、不可逆地瘫痪系统，包括阻止操作系统成功启动。使用已签名的二进制文件表明攻击者更加注重规避检测，基于PowerShell的传播脚本（p.ps1）则反映出对系统原生功能的深度依赖。

第三阶段（2023-2024年，Karma/以色列行动）：引入混合执行模式，结合定制工具、公开可用的实用程序以及手动键盘操作技术。攻击者不再完全依赖定制恶意软件，而是将轻量级Webshell与原生管理工具相结合，显著提升了操作灵活性。这一阶段的显著特征是入侵者与破坏者之间的分工，体现了模块化、协调化的生态系统。

第四阶段（2024年至今，Handala）：演变为多向量破坏框架，整合了定制擦除器（handala.exe，MD5: 5986ab04dd6b3d259935249741d3eff2）、PowerShell递归删除脚本、VeraCrypt等合法加密工具，以及NetBird等企业级网络工具。最关键的跃升出现在2026年3月的Stryker事件：攻击者据报攻破了微软Intune管理平台，直接向注册终端发出远程擦除命令。研究报告显示，多达8万至20万台设备（包括笔记本电脑和移动终端）的数据被擦除，在执行破坏性操作前约有50TB数据被窃取。这完全绕过了传统的恶意软件部署路径。

研究者对此评价道：“攻击者不再依赖终端级别的持久化和执行，而是将目标转向企业本身的控制平面……合法的企业工具被武器化，从而造成即时的大规模影响。一旦进入这样的系统，攻击者‘只需按下一个按钮’。”

四、Telegram的双重角色：指挥控制与舆论放大

Telegram在这一生态系统中扮演着独特而核心的角色。它同时是两个层面的基础设施：

• 隐蔽的C2通道：恶意软件通过Telegram Bot API与操作者控制的机器人通信，使用加密通道，与正常流量难以区分。研究者发现，诱饵文件包括Telegram_Authenticator.exe、KeePass.exe、Pictory_premium_ver9.0.4.exe等，第二阶段则部署RuntimeSSH.exe后门、MicDriver.dll音频采集模块等。这种方法显著增加了检测难度，同时减少了对专用C2基础设施的依赖。
• 公开的传播节点：与行动相关的Telegram频道（如@Homeland Justice1、@HANDALA_INTEL、@HANDALA_HPR2等）充当面向公众的枢纽，散布宣传、行动声明和泄露数据。这些频道并非被动渠道，而是行动流程中的积极组成部分。

研究者指出，这种双重用途设计“体现了一种深思熟虑的运营选择，旨在将多种功能——控制、沟通和影响力——整合到一个广受信任的平台上。”

五、真实影响：叙事制造机，而非技术超级力量

一个必须回答的问题是：Handala是否具备其声称的毁灭性能力？

研究机构的评估呈现出一幅更为复杂的图景。“Handala的有效性并非取决于持续的技术成功，而是源于其能够将数量有限的真实或看似真实的入侵事件转化为一场持续的感知管理、恐吓和胁迫信号传递活动。”

从实际影响来看，可以划分为三个层级：

最高层级（罕见但影响重大）：Stryker事件是唯一得到独立证实的运营中断案例。报告显示，此次入侵中断了订单处理、生产和发货流程，恢复工作持续数天。据报道，数万台设备被远程擦除，影响了多个地区的员工，甚至包括已注册到企业系统中的个人设备。该事件引发了执法部门的响应，包括查封Handala相关域名。

中间层级（常见）：个人数据泄露造成声誉损害和情报风险。Kash Patel的个人电子邮件、照片和文件被公开即属此类，但泄露材料并未被评估为包含敏感的政府信息。研究者指出，此次事件的意义“不在于技术上的漏洞，而在于其作为一次公开羞辱和发出信号行动的作用”。

最低层级（频繁但未经验证）：大量叙事驱动的指控。Verifone公开否认其系统遭入侵；有关以色列水利和电网被攻破的说法缺乏独立证据；许多所谓的“大规模数据擦除”仍停留在声称层面。例如，耶路撒冷希伯来大学被宣称擦除40-48TB、窃取23TB数据，但“部分证据支持但未得到最终证实的模式是Handala生态系统的典型特征”。

研究者因此得出结论：“观察到的大多数不利事件并非技术性的，而是心理和声誉方面的。”这一模式与“网络影响力行动”的更广泛理论高度吻合——目标不是破坏系统，而是塑造认知、施加压力、影响行为。

六、低技术门槛与高叙事杠杆：不对称作战的核心

一个容易被误解的关键点是：Handala的技术能力并非顶尖。研究材料明确指出，其初始访问“经常通过相对低复杂度的方法实现，例如密码猜测、凭证填充、网络钓鱼、利用弱密码或重复使用的凭证，以及外部暴露服务中的不良安全卫生。”

在Stryker这样的高影响力案例中，“可用指标表明，入侵可能源于薄弱的身份和访问控制或配置错误的管理基础设施，而非新颖的漏洞或高级恶意软件部署。”研究者因此将其技术执行层面定位为“更接近低层级的入侵团伙或访问经纪商”。

然而，他们的与众不同之处不在于如何获得访问权限，而在于用访问权限做什么。“有限的立足点——通常不过是一个被攻破的账户、一个暴露的数据集或一个外围系统——被系统地转化为旨在实现最大心理和媒体影响的‘黑客与泄露’操作。”技术简单性与战略有效性并存——这正是该生态系统的核心不对称优势。

七、基础设施策略：可消耗的域名，持久的身份

Handala的基础设施设计体现了高度的操作弹性。研究者在分析handala-hack[.]ps和handala-hack[.]tw等域名时指出：“这些域名并非孤立的个体，而是可重复系统的一部分……命名规则、叙事时机和平台协调比任何单一资产的持久性都更为重要。”

值得注意的是，.ps域名带有清晰的政治信号，与行动者的意识形态框架相符；而.tw域名则“发挥着不同的作用：分散管辖权和实现操作冗余……行动者正在将消息层信号（.ps）与弹性层基础设施（.tw）分离。”

2026年3月19日至23日期间，该行动集群执行了一次集中域名注册，为所有三个身份注册了至少八个新域名，包括handala-hack[.]pro、handala-hack[.]shop、handala-hack[.]tw、handala-redwanted[.]cc、handala-redwant[.]to、karmabelow80[.]biz、karmabelow80[.]st以及Homeland Justice[.]info。研究者指出，这种五天内的密集注册“更符合行动前的准备工作或中断后的基础设施重建，而非例行的域名更替。”更重要的是，旧身份正在被积极重建而非弃用——这表明该生态系统的演进是累加且并行的，而非线性替代。

八、结论：一场国家主导的持久信息战

综合以上分析，Handala的真实“来路”可以概括为：

它是一个由伊朗情报与安全部指挥、多品牌运作、持续演进的网络影响力生态系统。其核心能力不在于高超的入侵技术，而在于将低到中等复杂度的网络入侵与精密的心理操作、叙事控制和媒体放大机制相结合，从而制造出远超其技术能力的战略影响。

研究者做出了精辟的总结：“这些行动者更接近于低层级的入侵团伙或访问经纪商……然而，他们的与众不同之处不在于如何获得访问权限，而在于用访问权限做什么。”

在这个模型中，新闻周期本身被用作行动的延伸。每一次泄密都被设计为触发一个可预测的反应循环：披露→媒体报道→公众讨论→机构回应。这个循环无论底层技术深度如何，都会给受害者和防御方带来真实的成本。“小规模或模棱两可的数据集被包装为大规模泄露；部分访问被呈现为系统性入侵；未经证实的声明以确保快速放大的方式发布。”

因此，Handala不是一个可以靠查封域名或逮捕操作者就能消灭的威胁。它是一个嵌入国家战略的持久机制，可以根据地缘政治条件被激活、扩展或重新定向。正如研究者所言：“它代表了一种持续的机制，国家可以通过这种机制在网络和信息领域长期投射影响力、施加压力并塑造舆论。”只要伊朗情报部将其视为有效的胁迫工具，Handala及其变体面孔就将继续出现在未来的网络冲突前线。

前情回顾

Handala黑客组织再出手:以色列8200部队“伊朗处”80名高级网络军官身份曝光

19,000份未公开原档在手：Handala黑客曝光以军前总长哈莱维影像资料

Handala黑客揭露以色列的无人机女王维雷德·海莫维奇上校秘史

黑客组织“Handala”连发五条威胁：瞄准以色列空军、无人机部队及美以基础设施

参考资源

1、https://www.securitylab.ru/news/571803.php

2、https://dti.domaintools.com/research/mois-linked-moist-grasshopper-homeland-justice-karmabelow80-handala-hackers-campaigns-and-evolution?

3、https://dti.domaintools.com/research/handala-mois-linked-cyber-influence-ecosystem-threat-intelligence-assessment

4、https://handala-hack.tw/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《从阿尔巴尼亚到Stryker：Handala黑客的真实身份与演进之路》