Selon KELA Cyber Intelligence Center, une série d’intrusions revendiquées en décembre 2025 par le groupe Handala a visé des responsables israéliens, avec une compromission limitée aux comptes Telegram, et non aux téléphones eux‑mêmes.

• Attaque et impact. Handala a revendiqué le piratage de l’iPhone 13 de Naftali Bennett (“Operation Octopus”) et celui de l’iPhone de Tzachi Braverman (chef de cabinet de Netanyahu), affirmant détenir contacts, médias et conversations. KELA indique que la fuite provient de comptes Telegram: la majorité des « conversations » étaient des cartes de contact vides auto‑générées par la synchronisation; ~40 seulement contenaient des messages, peu substantiels. Bennett a confirmé un accès non autorisé à son Telegram, tout en assurant que son téléphone restait sûr; le bureau du Premier ministre a démenti pour Braverman. Tous les contacts correspondaient à des comptes Telegram actifs, confirmant l’origine Telegram plutôt qu’un accès complet aux appareils.

• Profil de l’acteur. Émergé fin 2023, Handala est actif sur des forums cyber (BreachForums, Ramp, Exploit), opère des canaux Telegram/Twitter (souvent supprimés), utilise Tox pour les communications, des plateformes de défacement et un site WordPress (registrant « Roxie Collins », compte admin « vie6c », difficultés à maintenir un service Tor, demandes d’aide via aaPanel). Le groupe cible principalement des entités israéliennes et affiche un soutien à l’Iran et à la cause palestinienne. Des recherches OSINT l’alignent à l’écosystème cyber lié au MOIS iranien, avec recouvrements présumés avec Banished Kitten, Karma Below et Homeland Justice; en août 2025, des membres auraient été exposés par Iran International TV.

• Modus operandi (TTPs) 🧑‍💻. Handala s’appuie largement sur le phishing se faisant passer pour des fournisseurs de confiance afin de déployer wipers et infostealers (Windows/Linux) et d’utiliser Telegram comme C2 pour exfiltrer les données. Vecteurs détaillés de prise de compte Telegram:

  • SIM swapping et exploitation SS7 pour intercepter les OTP par SMS.
  • Collecte multi‑vecteur d’OTP: appels vocaux vers messageries non protégées (PIN par défaut), usurpation de support Telegram ou de contacts, bots/« services » tiers capturant les OTP.
  • Phishing via fausses pages de connexion et QR codes piégés établissant des sessions authentifiées.
  • MFA faible/absente: le cloud password Telegram étant optionnel, un OTP peut suffire; ce mot de passe peut être compromis (phishing, keylogging, réutilisation).
  • Détournement de session via Telegram Desktop tdata: copie/restauration de sessions depuis postes compromis ou répertoires synchronisés.
  • Accès à des sauvegardes/cloud contenant données Telegram/tdata en dehors du périmètre de sécurité de Telegram.
  • Malwares/clients modifiés pour voler sessions, OTP, messages; postes secondaires compromis.
  • Exploitation de vulnérabilités connues/inconnues (ex. CVE‑2024‑7014 liée à des fichiers vidéo piégés), potentiellement chaînées avec des faiblesses d’OPSEC.

• Sécurité Telegram 🔐. Des IDs de compte permanents facilitent le pistage par bots OSINT et corrélations inter‑groupes; l’API ouverte et des archives tierces renforcent le profilage. Des antécédents existent: en 2020, une base d’environ 900 Mo avec des numéros/identifiants d’utilisateurs a circulé, et une autre fuite a exposé 42 M d’utilisateurs iraniens via une base non sécurisée. Les chats standards sont des « cloud chats » (pas de chiffrement de bout en bout); les « Secret Chats » doivent être initiés manuellement, ne se synchronisent pas entre appareils.

• Évaluation KELA 🕵️‍♂️. KELA conclut à une compromission limitée aux comptes Telegram, probablement via ingénierie sociale/spear‑phishing (mots de passe/OTP), exfiltration de tdata depuis des postes compromis, ou accès non autorisé à des sauvegardes cloud. L’incident met en évidence des lacunes de gestion de sessions et l’importance de MFA sur les messageries cloud.

• IOCs. Aucun IOC technique explicite (IP, domaines, empreintes) n’est fourni dans l’article. Indices non techniques mentionnés: registrant « Roxie Collins », compte WordPress « vie6c », usages de ProtonMail/Outlook, Tox, aaPanel.

Type d’article: analyse de menace visant à documenter l’acteur, ses TTPs et l’étendue réelle des compromissions de comptes Telegram.

🧠 TTPs et IOCs détectés

TTP

Phishing, SIM swapping, exploitation SS7, collecte multi-vecteur d’OTP, usurpation de support Telegram, détournement de session via Telegram Desktop tdata, accès à des sauvegardes/cloud, malwares/clients modifiés, exploitation de vulnérabilités connues/inconnues

IOC

Registrant ‘Roxie Collins’, compte WordPress ‘vie6c’, usages de ProtonMail/Outlook, Tox, aaPanel

🔗 Source originale : https://www.kelacyber.com/blog/handala-hack-telegram-breach-israeli-officials/