Pleins feux sur les acteurs menaçants – Handala Hack Team

12 mai 2026

Les premières activités suggèrent que le groupe ciblait principalement le gouvernement israélien et ses citoyens. À la suite de l’opération Epic Fury en février 2026, elle a mené deux attaques importantes visant le fabricant médical Stryker, affilié aux États-Unis, et le directeur du FBI, Kash Patel.

Le début

La première attaque à grande échelle menée par Handala visait le Dôme de Fer d’Israël. Cible de haut niveau pour de nombreux groupes hacktivistes, Handala a affirmé avoir réussi à pirater une « société de radars tactiques polyvalents » – DRS RADA. Le groupe a partagé plusieurs captures d’écran qui semblent montrer des interfaces internes du système, ainsi que des preuves de sites Web dégradés (en particulier rada(.)com et rada(.)co(.)il). Ils ont également menacé de divulguer jusqu’à 2 téraoctets de données. À première vue, cela suggérait une violation potentiellement grave. Toutefois, un examen plus approfondi a révélé des lacunes importantes. Le site officiel de DRS RADA (drsrada.com) ne figurait pas sur la liste des domaines dégradés. Aucune fuite de données ou fichier téléchargeable n’a été mis à disposition pour étayer l’affirmation d’une exfiltration à grande échelle, laissant les chercheurs avec des questions sur les affirmations du groupe « prises au sérieux ».

En 2024, le groupe s’est également orienté vers perturber infrastructures ciblant les civils israéliens. Utilisant une tactique de spear phishing, les habitants du conseil régional de Ma’ala Yosef ont reçu des SMS semblant provenir de l’application mobile MyCity, une plateforme de gestion de crise utilisée par les autorités locales. Les messages incitaient les destinataires à cliquer sur un lien et à télécharger une application qui soulevait des inquiétudes quant à une tentative ciblée de compromission des appareils personnels. Le même mois, Handala aurait mené une attaque de ransomware contre le kibboutz Ma’agan Michael, exfiltrant environ 22 Go de données et envoyant plus de 5 000 messages texte d’avertissement. La demande de rançon comprenait des critiques à la fois contre le kibboutz et contre Israël, soulignant les motivations politiques du groupe. Ma’agan Michael est largement considéré comme l’un des kibboutzim les plus importants et les plus prospères financièrement en Israël, ce qui en fait une cible très médiatisée.

Activité récente

Le 11 mars 2026, Handala revendiqué avoir effacé des dizaines de milliers de systèmes et de serveurs appartenant à la société de technologie médicale Stryker. Dans un communiqué, Handala a déclaré que « plus de 200 000 systèmes, serveurs et appareils mobiles ont été effacés et 50 téraoctets de données critiques ont été extraits ». L’attaque aurait forcé la fermeture de bureaux dans 79 pays. Le groupe n’a pas donné de détails sur la logistique mais a déclaré avoir ciblé l’entreprise en « représailles à l’attaque brutale contre l’école Minab » ainsi que les liens présumés « sionistes » des entreprises. Selon les médias, un porte-parole de Stryker a annoncé : « Nous sommes actuellement confrontés à une perturbation du réseau mondial affectant l’environnement Windows. » À l’origine, on supposait que le groupe utilisait un malware wiper, mais après une enquête, Stryker a affirmé qu’aucun malware ou ransomware n’avait été trouvé sur ses systèmes.

Suite à cette attaque, le Ministère de la Justice a officiellement confirmé le lien entre Handala et le ministère iranien du renseignement et de la sécurité (VEVAK). Selon le département, le Vevak a utilisé le domaine Handala-hack(.)to pour mener l’attaque Stryker. Cela a conduit à la saisie de quatre domaines utilisés par le groupe (Justicehomeland(.)org, Handala-Hack(.)to, Karmabelow80(.)org et Handala-Redwanted(.)to).

Le 27 mars, Handala a affirmé avoir violé le compte de messagerie personnel du directeur du FBI, Kash Patel : « Tous les courriers électroniques personnels et confidentiels de Kash Patel, y compris les courriers électroniques, les conversations, les documents et même les fichiers classifiés, sont désormais disponibles en téléchargement public. » Des photos et des documents personnels filigranés ont ensuite été publiés, y compris de la correspondance électronique datant de l’époque où le directeur Patel avait pris ses fonctions.

L’attaque semble avoir été menée en représailles à la saisie par le FBI des domaines liés à Handala après sa précédente cyberattaque contre la société de technologie médicale Stryker. Dans leur déclaration concernant la violation du compte de messagerie personnel du directeur Patel, le FBI a réitéré que le programme Rewards for Justice du Département d’État offre jusqu’à 10 millions de dollars « pour les informations permettant d’identifier l’équipe Handala Hack en Iran ». Les informations saisies semblaient être historiques et le FBI a affirmé qu’aucune information gouvernementale n’avait été acquise ou divulguée.

Tactiques, techniques et procédures (TTP) :

Les opérations de Handala portent moins sur des exploits tape-à-l’œil et de pointe que sur ce qui fonctionne. Comme le montrent leurs affirmations concernant l’attaque du Dôme de Fer israélien, le groupe semble avoir surestimé son impact en projetant des capacités au-delà de ce qu’il a réellement réalisé. Ce schéma est cohérent avec un comportement hacktiviste plus large, où des affirmations exagérées et non vérifiées sont utilisées pour amplifier l’efficacité perçue. Des tactiques similaires ont été observées parmi des groupes pro-iraniens tels qu’Ababil de Minab et APT Iran, tous deux mêlant propagande et cyber-opérations.

Le groupe associe des logiciels malveillants destructeurs à des techniques d’ingénierie sociale et d’intrusion pratiques, créant ainsi une boîte à outils à la fois efficace et adaptable. Au lieu de rechercher de nouvelles vulnérabilités, ils s’appuient sur une combinaison d’outils disponibles dans le commerce, de charges utiles personnalisées et de méthodes de « vie hors du terrain », exploitant les fonctionnalités légitimes du système pour rester sous le radar.

Cette approche pragmatique leur confère une grande flexibilité. Ils peuvent rapidement ajuster leurs tactiques en fonction de la cible tout en atteignant leur objectif principal : la perturbation. Comme le prouvent leurs campagnes de spear phishing, le groupe a touché des centaines de milliers de personnes, mais n’a obtenu qu’un succès minime au-delà de la phase de contact initiale. Tout aussi important, leurs campagnes sont conçues pour avoir un avantage psychologique, amplifiant l’impact au-delà des dommages techniques immédiats.

Conclusion

Les activités attribuées à la Handala Hack Team mettent en évidence la nature évolutive de la cyberguerre moderne. Opérant sous l’apparence d’un hacktivisme populaire, le groupe a été associé à des actions qui brouillent la frontière entre le vol de données, la pression psychologique et les attaques numériques perturbatrices. Leurs opérations vont de l’effacement d’un grand nombre d’appareils d’entreprise à l’exposition des informations personnelles d’individus liés aux secteurs de la défense et de la sécurité. Tout cela est conçu pour créer à la fois des dommages à la réputation et des perturbations opérationnelles.

Alors que les tensions géopolitiques s’étendent de plus en plus au cyberespace, le message plus large est difficile à ignorer : les infrastructures numériques et les données personnelles deviennent des cibles centrales. Que la cible soit une entreprise, une organisation affiliée à un gouvernement ou un individu de premier plan, la frontière entre conflit physique et numérique continue de s’éroder. Tant que la guerre avec l’Iran persiste, Handala restera une menace active.

Consultez notre récent blog sur le changement de marque et l’expansion de la cible de Handala.