Handala Hack is not an isolated hacktivist outfit but an online persona operated by Void Manticore — also tracked as Red Sandstorm or Banished Kitten — a group that Check Point Research says is directly run by Iran’s Ministry of Intelligence and Security (MOIS). Void Manticore maintains several public-facing identities: Handala Hack, active since late 2023 and mainly focused on Israel; Homeland Justice, used since mid-2022 for attacks on government, telecom and other sectors in Albania; and Karma, a now-defunct persona that Handala appears to have absorbed. In some intrusions, victim-facing messages left in wipers and other notes were branded Karma, while stolen data was later published under Handala.

The group’s name and imagery are drawn from the Palestinian cartoon character Handala. Its activity has recently expanded to the United States, including attacks against medical technology giant Stryker. Public sources cited in the report also suggest links between Void Manticore and the MOIS internal security directorate, specifically its counterterrorism division led by Seyed Yahya Hosseini Panjakit, who was killed in Israeli strikes on Iran earlier this month.

Handala’s initial access strategy is heavily supply-chain driven: it systematically targets IT service providers to steal credentials, then uses them to break into victims’ VPN environments. Researchers observed hundreds of login attempts and brute-force attacks against VPN infrastructure originating from commercial VPN nodes and often associated with default Windows hostnames such as DESKTOP-XXXXXX or WIN-XXXXXX. After Iran’s January internet shutdown, similar activity was also seen coming from Starlink IP ranges, a pattern that continued. At the same time, the group’s operational discipline appears to have weakened, with analysts noting direct connections from Iranian IP addresses where commercial VPN nodes had previously been used to obscure origin.

In at least one recent intrusion, Handala established initial access months before the destructive phase, using the delay to build persistence and collect domain administrator credentials. Pre-impact activity included disabling Windows Defender, dumping LSASS memory via rundll32.exe and comsvcs.dll, exporting sensitive registry hives (HKLM), and running ADRecon (dra.ps1), a PowerShell Active Directory reconnaissance framework that can expose domain admin credentials.

Void Manticore remains highly manual in its operations. Lateral movement is mainly done through RDP, and to reach internal hosts not directly accessible from outside, the group now deploys NetBird, an open-source zero-trust mesh networking platform. Operators install it manually: they RDP into compromised machines, use the local browser to download the software from the official site, and then connect multiple systems internally to speed up destructive activity. In one incident, researchers saw at least five different machines under attacker control operating simultaneously inside the environment.

The destructive phase is Handala’s signature. The group runs four wiping methods in parallel, distributed through Group Policy Objects (GPOs) to maximize damage. First is a custom wiper, sometimes called handala.exe, launched remotely from the domain controller via a batch file (handala.bat) without being written to disk on target machines; it overwrites file contents and uses MBR-wiping techniques to corrupt or destroy disk-level data. Second is a PowerShell wiper also pushed via GPO, which enumerates and deletes all files under C:\Users; researchers say its code structure and detailed comments suggest AI assistance. As a final step, it drops a propaganda image named handala.gif on all logical drives. Third, attackers download VeraCrypt directly from the official site through the compromised machine’s browser and use it to encrypt system disks, making recovery harder even if wiping only partially succeeds. Fourth, in some cases, operators manually delete virtual machines from the virtualization platform or log in via RDP and erase files by selecting and deleting them; Handala has documented this behavior in its own videos and materials.

Overall, Check Point says Void Manticore’s TTPs have remained broadly stable from 2024 to 2026: manual operations, ready-made wipers, and public tools for deletion and encryption. The main changes are the adoption of NetBird for internal tunneling and the use of AI to generate PowerShell wiping scripts. Defenders are advised to enforce MFA for all remote and privileged access, monitor suspicious authentication patterns such as logins from unusual countries, odd hours, VPN session data spikes, new devices, and new ASN ranges, restrict connections from Iran and Starlink ranges used by Iranian actors, harden or disable RDP where unnecessary, and watch for default-hostname machines and potentially unwanted tools such as RMM software, NetBird, and SSH tunneling utilities.

Handala Hack n’est pas un groupe isolé. Selon les chercheurs de Check Point Research, il s’agit d’un persona en ligne opéré par Void Manticore (également connu sous les noms Red Sandstorm ou Banished Kitten), un groupe que le MOIS, le Ministère iranien du Renseignement et de la Sécurité, pilote directement.

Void Manticore possède en réalité plusieurs façades publiques distinctes. Outre Handala Hack, actif depuis fin 2023 et ciblant principalement Israël, on compte Homeland Justice, un persona que le groupe maintient depuis mi-2022 pour des attaques contre des cibles gouvernementales, télécom et autres secteurs en Albanie, ainsi que Karma, persona aujourd’hui disparu que Handala a vraisemblablement absorbé.

Les chercheurs notent que dans certaines intrusions, la communication à destination des victimes (messages dans les wipers, notes que les attaquants laissaient dans les environnements compromis) se présentait sous le nom Karma, tandis que les données volées transitaient ensuite vers Handala pour y être publiées.

Le nom et l’iconographie du groupe s’inspirent du personnage de bande dessinée palestinien Handala. L’entité a récemment élargi son périmètre d’action aux États-Unis, ciblant notamment le géant de la technologie médicale Stryker.

D’après des sources publiques citées dans le rapport, Void Manticore présenterait des chevauchements d’activité avec la Direction de la sécurité intérieure du MOIS, et plus précisément sa Division de lutte contre le terrorisme dirigée par Seyed Yahya Hosseini Panjakit tué par des frappes israéliennes sur l’Iran au début du mois.

Des accès initiaux obtenus via la chaîne d’approvisionnement IT

Handala cible de manière systématique les fournisseurs de services IT pour obtenir des identifiants d’accès. Le groupe les exploite ensuite pour s’introduire dans les environnements VPN des organisations victimes.

L’analyse révèle des centaines de tentatives de connexion et de brute-force contre des infrastructures VPN, originaires de nœuds VPN commerciaux et fréquemment liées à des noms d’hôtes Windows par défaut du type DESKTOP-XXXXXX ou WIN-XXXXXX.

Un élément est notable : après la coupure d’internet en Iran en janvier, les chercheurs ont observé ce type d’activité provenant de plages d’adresses IP Starlink, une tendance qui s’est poursuivie.

En parallèle, la discipline opérationnelle du groupe s’est dégradée : les analystes ont relevé des connexions directes depuis des adresses IP iraniennes, là où le groupe utilisait auparavant des nœuds VPN commerciaux pour masquer son origine.

Une phase de reconnaissance discrète avant la destruction

Dans au moins une intrusion récente que les chercheurs attribuent à Handala, le groupe a établi son accès initial plusieurs mois avant la phase destructrice. Durant cette période de latence, il a accumulé accès persistants et identifiants d’administration de domaine.

Les activités pré-impact observées comprennent :

La désactivation de Windows Defender

Des opérations de reconnaissance et de vol d’identifiants, incluant le dump de la mémoire du processus LSASS via rundll32.exe et comsvcs.dll

L’export de ruches de registre sensibles (HKLM)

L’exécution d’ADRecon (dra.ps1), un framework PowerShell de reconnaissance Active Directory, permettant d’obtenir des identifiants d’administrateur de domaine

Déplacement latéral : RDP et tunnelisation via NetBird

La marque de fabrique de Void Manticore est son fonctionnement manuel, « hands-on ». Le déplacement latéral s’effectue principalement via RDP (Remote Desktop Protocol). Pour atteindre les hôtes non directement accessibles depuis l’extérieur, le groupe déploie désormais NetBird, une plateforme open source permettant de créer des réseaux maillés privés « zero-trust ».

Les attaquants déploient NetBird manuellement : les attaquants se connectent en RDP sur les machines compromises, puis utilisent le navigateur web local pour télécharger le logiciel directement depuis le site officiel.

En installant NetBird sur plusieurs machines, ils établissent une connectivité interne entre systèmes, accélérant ainsi l’activité destructrice. Lors d’un incident, les chercheurs ont observé au moins cinq machines distinctes sous contrôle des attaquants opérant simultanément dans l’environnement.

Quatre méthodes de destruction déployées simultanément

La phase destructrice constitue la signature de Handala. Le groupe déploie quatre techniques de wiping en parallèle, qu’il distribue via les stratégies de groupe (GPO) pour maximiser l’impact.

1. Le Handala Wiper (exécutable custom)

Un wiper personnalisé, parfois nommé handala.exe, le groupe distribue via des scripts de connexion GPO à travers un fichier batch (handala.bat).Les attaquants le lancent à distance depuis le contrôleur de domaine sans l’écrire sur le disque des machines cibles. Il écrase le contenu des fichiers et emploie des techniques de wiping MBR pour corrompre ou détruire les données au niveau du disque.

2. Le Handala PowerShell Wiper (assisté par IA)

Un second wiper, cette fois en PowerShell, que le groupe distribue également par GPO. Il énumère et supprime tous les fichiers dans les répertoires C:\Users. Selon les chercheurs, la structure du code et la qualité détaillée des commentaires suggèrent que les attaquants ont développé ce script avec l’assistance de l’IA. En dernière étape, le script dépose une image de propagande nommée handala.gif sur tous les disques logiques.

3. Chiffrement des disques via VeraCrypt

Pour renforcer l’impact destructeur, les attaquants téléchargent VeraCrypt, un outil légitime de chiffrement de disque, directement depuis le site officiel en passant par le navigateur de la machine compromise. En chiffrant les disques système, ils rendent la récupération encore plus difficile, même si les autres composants de wiping n’ont que partiellement fonctionné.

4. Suppression manuelle

Dans certains cas, les opérateurs de Handala suppriment manuellement les machines virtuelles directement depuis la plateforme de virtualisation, ou suppriment des fichiers en se connectant en RDP, en sélectionnant tous les fichiers et en les effaçant. Handala a lui-même documenté ce comportement dans des vidéos et des matériaux qu’il diffuse.

Des TTPs stables, mais quelques évolutions notables

Les chercheurs soulignent que les TTPs de Void Manticore sont demeurées largement stables de 2024 à 2026, reposant sur des opérations manuelles, des wipers prêts à l’emploi, et des outils publics de suppression et de chiffrement. Deux évolutions récentes méritent toutefois attention. D’abord, l’adoption de NetBird pour la tunnelisation du trafic et l’accès aux hôtes internes. Ensuite, le recours à l’IA pour générer des scripts PowerShell de wiping

Recommandations pour les défenseurs

Le rapport formule plusieurs recommandations pratiques :

1

Imposer l’authentification multi-facteurs (MFA) pour tous les accès distants et les comptes privilégiés.

2

Surveiller les activités d’authentification suspectes : connexions depuis des pays inhabituels, horaires atypiques, pics de transfert de données en session VPN, enregistrement de nouveaux appareils, nouvelles plages ASN.

3

Restreindre les connexions depuis l’Iran et les plages Starlink exploitées par des acteurs iraniens — envisager de limiter temporairement le VPN aux seuls pays liés à l’activité de l’organisation.

4

Durcir et restreindre l’accès RDP, le désactiver là où il n’est pas nécessaire, et surveiller les connexions depuis des machines aux noms par défaut (DESKTOP-XXXXXX / WIN-XXXXXXXX).

5

Surveiller l’usage d’outils potentiellement indésirables : outils RMM, applications VPN comme NetBird, et utilitaires de tunnelisation SSH.

Image : © DR

The post Handala Hack, un groupe hacktiviste iranien aux méthodes destructrices appeared first on Silicon.fr.