Cyberattaque contre Stryker : que sait-on de Handala ?

Void Manticore

Initialement traitée comme une énième enseigne de rançongiciel, l’enseigne Handala a rapidement cessé d’être considérée de la sorte. Des hacktivistes pro-Iran ont été soupçonnés. Mais les recherches ont permis de clarifier l’identité derrière les opérations attribuées à Handala, également suivi sous le nom de Void Manticore. Il s’agit d’un acteur malveillant iranien qui a été responsable de multiples attaques destructrices combinées à des opérations de type hack and leak.

Ce groupe opère plusieurs personnalités en ligne, dont la plus notable est Homeland Justice, maintenue depuis mi 2022 pour des attaques contre le gouvernement, les télécommunications et d’autres secteurs en Albanie. Handala a de son côté été responsable de multiples intrusions en Israël et a récemment élargi sa cible aux entreprises basées aux États-Unis, notamment le géant des technologies médicales Stryker.

Les personnalités opérationnelles principales incluent Homeland Justice, Karma – qui a été entièrement remplacé par Handala – et donc ce dernier. Selon les observations, Handala est une personnalité en ligne exploitée par Void Manticore et semble tirer son nom et ses images du personnage palestinien Handala.

Ce groupe est affilié au MOIS Internal Security Deputy, en particulier à sa division dite de contre-terrorisme, opérant sous la supervision de Seyed Yahya Hosseini Panjaki, indique Check Point. Ce dernier a été tué lors des frappes d’Israël sur l’Iran au début de mars 2026, marquant un moment tragique dans l’histoire de ce groupe.

Mode opératoire

L’approche technique de Handala reste principalement manuelle – ou hands-on –, avec un déplacement latéral effectué en grande partie via RDP. Pour atteindre les hôtes qui n’étaient pas directement accessibles depuis l’extérieur du réseau, le groupe a été observé en déployant NetBird, une plateforme conçue pour créer des réseaux maillés sécurisés de confiance zéro.

L’installation de NetBird a été effectuée manuellement : les attaquants se sont d’abord connectés aux hôtes compromis via RDP, puis ont utilisé le navigateur web local pour télécharger directement le logiciel depuis le site officiel de NetBird.

Pour l’accès initial, les attaquants ont exploité des comptes VPN compromis et des segments IP de VPN commerciaux ainsi que des plages Starlink.

Un historique de destructeur

Lors de la phase destructive de l’attaque, les chercheurs ont observé le groupe déployant quatre techniques de wiping en parallèle, probablement pour maximiser l’impact et infliger les dommages possibles. Pour accroître encore plus l’effet, l’acteur malveillant a utilisé une GPO pour distribuer les différents wipers dans le réseau.

• Handala Wiper : Ce wiper personnalisé a été distribué dans tout le réseau en tant que tâche planifiée utilisant des scripts de connexion Group Policy. L’exécutable lui-même a été lancé à distance depuis le contrôleur de domaine et n’a pas été écrit sur le disque des machines affectées.
• PowerShell Wiper : Ce script a également été distribué via des scripts de connexion Group Policy. Selon Check Point, il est probable que ce script PowerShell ait été écrit avec l’aide d’une IA génératice. Le script énumère tous les fichiers dans les répertoires des utilisateurs et les supprime.
• VeraCrypt : Dans certains cas, les attaquants ont tenté d’exploiter VeraCrypt, un outil de chiffrement de disque largement utilisé et légitime.
• Destruction manuelle : Les opérateurs de Handala suppriment parfois manuellement des machines virtuelles directement depuis la plateforme de virtualisation ou des fichiers depuis les machines compromises.

Pour Gary Warner, de DarkTower, ces méthodes renvoient à la doctrine iranienne depuis Shamoon, contre Saudi Aramco en 2012, reprise plus tard par la Corée du Nord avec des attaques telles que Dark Seoul.