Das iranisch unterstützte Handala Hack Team, das dem iranischen Geheimdienstministerium (MOIS) zugerechnet wird, hat die Kompromittierung des privaten E-Mail-Kontos von Kash Patel sowie zerstörerische Angriffe auf Unternehmen wie den Medizintechnikkonzern Stryker für sich reklamiert. Der Vorfall verdeutlicht, wie sich politisch motivierter Hacktivismus und klassische Cyberkriminalität zunehmend vermischen – mit direkten Folgen für Behörden, Wirtschaft und Zivilgesellschaft.
Privates E-Mail-Konto von Kash Patel kompromittiert
Das FBI bestätigte, dass das private Postfach von Kash Patel Ziel eines Angriffs wurde. Veröffentlicht wurden nach Behördenangaben überwiegend ältere E-Mails und Dateien aus den Jahren 2010 bis 2019, die keine als vertraulich eingestuften Regierungsinformationen enthalten sollen. Gleichzeitig betonte das FBI, man habe Maßnahmen ergriffen, um Risiken zu minimieren und eine weitere Ausnutzung der Daten zu verhindern.
Aus Sicht der Cybersicherheit ist die gezielte Kompromittierung privater Konten hochrangiger Funktionsträger ein typisches Muster staatlich unterstützter Gruppen. Selbst scheinbar harmlose historische Inhalte können für Social Engineering, passgenaue Phishing-Kampagnen, Identitätsmissbrauch und Angriffe auf Kontakte der betroffenen Person genutzt werden. Untersuchungen wie der Verizon Data Breach Investigations Report zeigen seit Jahren, dass kompromittierte Zugangsdaten und Phishing zu den häufigsten Initialvektoren bei Cyberangriffen zählen.
Handala Hack Team: MOIS-nahe Hacktivisten mit professioneller Infrastruktur
Threat-Intelligence-Anbieter ordnen Handala dem Umfeld des iranischen Geheimdienstministeriums zu und beschreiben die Gruppe als pro-iranische und pro-palästinensische Hacktivisten-Persona. In der Fachwelt wird sie unter Decknamen wie Banished Kitten, Cobalt Mystique, Red Sandstorm oder Void Manticore geführt. Seit 2022 treten dieselben Operatoren zudem unter dem Label „Homeland Justice“ auf, das insbesondere Organisationen auf dem Westbalkan ins Visier genommen hat.
Nach Analysen von Sicherheitsfirmen wie StealthMole nutzt Handala eine mehrschichtige technische Infrastruktur. Dazu gehören Domains im öffentlichen Internet, versteckte Services im Tor-Netzwerk sowie externe File-Hosting-Plattformen wie MEGA zur Veröffentlichung exfiltrierter Daten und propagandistischer Inhalte. Dieses Setup entspricht dem Vorgehen etablierter, staatlich gestützter APT-Gruppen, auch wenn die Außendarstellung hacktivistisch geprägt ist.
Angriffstaktiken: VPN-Bruteforce, RDP-Missbrauch und Wiper-Malware
Erstzugang über VPN und kompromittierte Accounts
Recherchen von Check Point zufolge konzentriert sich Handala auf IT-Dienstleister und Service Provider, um über deren Zugänge weiter in Kundennetzwerke vorzudringen – ein typisches Muster von Supply-Chain-Angriffen. Für den Erstzugang werden vor allem VPN-Konten ausgenutzt, die durch Phishing oder Brute-Force-Attacken (massives Ausprobieren von Passwortkombinationen) kompromittiert wurden. Weltweit registrieren Sicherheitslösungen seit Monaten eine steigende Zahl automatisierter Login-Versuche gegen VPN-Gateways, was gut zu diesem Taktikbild passt.
Lateral Movement und Zerstörung mit Wipern
Nach erfolgreichem Eindringen setzen die Angreifer Remote Desktop Protocol (RDP) ein, um sich seitlich im Netzwerk zu bewegen und weitere Systeme zu übernehmen. Für maximalen Schaden kommen spezialisierte Wiper-Malware wie „Handala Wiper“ und „Handala PowerShell Wiper“ zum Einsatz. Über Gruppenrichtlinien (Group Policy Logon Scripts) werden diese Werkzeuge auf zahlreiche Rechner verteilt und löschen Daten unwiederbringlich.
Zusätzlich missbraucht die Gruppe legale Verschlüsselungswerkzeuge wie VeraCrypt, um Datenträger zu verschlüsseln. Das erschwert die Wiederherstellung, erzeugt aber gleichzeitig den Eindruck eines klassischen Ransomware-Angriffs – obwohl der primäre Zweck hier Zerstörung und psychologischer Druck ist, nicht die Erzielung eines Lösegelds.
Fall Stryker: Wiper-Angriff auf Fortune-500-Unternehmen im Gesundheitssektor
Vor dem Hintergrund wachsender Spannungen zwischen den USA, Israel und Iran übernahm Handala die Verantwortung für einen massiven Angriff auf Stryker, einen globalen Medizintechnik- und Dienstleistungsanbieter aus dem Fortune-500-Index. Die Gruppe behauptet, große Mengen interner Daten und „tausende“ Mitarbeitersysteme zerstört zu haben.
Stryker bestätigte den Vorfall und erklärte, der Angriff sei auf die interne Microsoft-Umgebung begrenzt gewesen. Das Unternehmen gab an, die Systeme zügig wiederhergestellt und Persistenzmechanismen der Angreifer entfernt zu haben. Sicherheitsforscher von Unit 42 (Palo Alto Networks) sehen Hinweise auf Kontoübernahmen durch Phishing und den Missbrauch von Administratorrechten in Microsoft Intune. Parallel identifizierte Hudson Rock kompromittierte, mit Microsoft-Infrastruktur verbundene Zugangsdaten, die über Info-Stealer-Malware erbeutet und vermutlich im Rahmen der Operation genutzt wurden.
Telegram als Command-and-Control und Werkzeug der Überwachung
Nach Angaben des FBI nutzen Handala und weitere MOIS-nahe Akteure Social-Engineering-Kampagnen in Messengern, um manipulierte Versionen legitimer Software wie Pictory, KeePass, Telegram oder WhatsApp zu verbreiten. In diese Programme ist ein initialer Malware-Loader eingebettet, der einen dauerhaften Fernzugriff über Telegram-Bots einrichtet.
Die Verwendung von Telegram als Command-and-Control-Kanal (C2) erlaubt es den Angreifern, ihren Datenverkehr im normalen Messenger-Datenstrom zu verstecken und Sicherheitskontrollen zu umgehen. Auf kompromittierten Systemen fanden Analysten zudem Funktionen zur Bildschirm- und Audioaufzeichnung, insbesondere während Video-Konferenzen über Zoom. Diese Fähigkeiten machen die Kampagnen zu wirksamen Werkzeugen der Überwachung und Einschüchterung von Oppositionellen, Journalisten und Exilaktivisten.
US-Gegenmaßnahmen und wachsende Verzahnung mit Cybercrime
Die Veröffentlichung der E-Mails von Patel erfolgte unmittelbar nach einer US-Operation zur Beschlagnahme von vier Domains, die seit 2022 von MOIS-nahen Akteuren für Desinformationskampagnen, Doxxing und Drohungen gegen Journalisten, Dissidenten und israelische Ziele genutzt worden sein sollen. Über diese Seiten wurden laut US-Justizministerium personenbezogene Daten von rund 190 Personen mit Bezug zu israelischen Streitkräften und Behörden sowie mehrere Hundert Gigabyte vertraulicher Informationen aus der jüdischen Community veröffentlicht.
Die US-Regierung hat ein Kopfgeld von bis zu 10 Millionen US-Dollar auf Hinweise zu MOIS-verbundenen Cyberakteuren ausgesetzt. Handala reagierte mit der schnellen Inbetriebnahme einer neuen Leak-Seite und versucht, die Maßnahmen als „Zensurversuch“ zu framen – ein typisches Narrativ in Informationsoperationen.
Analysten von Flashpoint beobachten, dass die durch den Nahostkonflikt befeuerte Cyberaktivität zunehmend dezentral und zerstörerisch wird. Neben Handala treten neue Gruppen wie Nasir Security auf, die über Zulieferer den Energiesektor im Nahen Osten attackieren – ein klassisches Beispiel für Angriffe auf Lieferketten. Gleichzeitig integrieren iranische Akteure immer stärker kriminelle Tools und Infrastrukturen: Handala nutzt etwa den Informationsdiebstahl-Trojaner Rhadamanthys, während andere Gruppen wie MuddyWater Botnetze und Loader aus dem Cybercrime-Ökosystem einsetzen. Dies erhöht die Schlagkraft und erschwert die eindeutige Zuordnung von Angriffen.
Die Entwicklung um Handala Hack zeigt, dass staatlich unterstützte Gruppen nicht mehr nur Regierungsnetze, sondern gleichermaßen Unternehmen, kritische Lieferketten und medizinische Infrastruktur ins Visier nehmen. Organisationen sollten deshalb ihre Sicherheitsarchitektur anpassen: konsequente Einschränkung von Administratorrechten, phishing-resistente Multi-Faktor-Authentifizierung, Mehrfachfreigaben für kritische Aktionen in Systemen wie Microsoft Intune, enges Monitoring von VPN- und RDP-Zugriffen sowie regelmäßige Überprüfung von Konten und Berechtigungen. Ergänzend sind Schulungen zur Erkennung von Social-Engineering-Angriffen und erprobte Incident-Response-Pläne entscheidend, um auf die nächste Welle komplexer, staatlich gestützter Cyberangriffe vorbereitet zu sein.
