Selon Check Point Research, cette publication analyse « Handala Hack », persona opéré par l’acteur iranien Void Manticore (a.k.a. Red Sandstorm, Banished Kitten) affilié au MOIS, connu pour des opérations de type « hack-and-leak » et des attaques destructrices par wipers, principalement contre Israël, l’Albanie (via Homeland Justice) et plus récemment des entreprises américaines (ex. Stryker).

• Contexte et attribution. Handala Hack est l’une des trois façades opérationnelles de Void Manticore (avec Homeland Justice et l’ancien Karma). Les intrusions partagent des TTPs similaires et des recouvrements de code dans les wipers. Des coopérations passées avec Scarred Manticore sont mentionnées. Les opérations 2024–2026 restent centrées sur des actions manuelles « hands-on » avec outils publics, services criminels pour l’accès initial, et indicateurs éphémères (VPN commerciaux, outils open source).

• Accès initial et pré-positionnement. L’acteur cible la chaîne d’approvisionnement (IT/SSP) et abuse de comptes VPN compromis, avec nombreuses tentatives de connexion/brute-force depuis des nœuds VPN commerciaux et des hôtes aux noms par défaut (DESKTOP-XXXXXX, WIN-XXXXXX). Après une coupure d’Internet en Iran (janvier), des activités ont émané de plages Starlink; une baisse d’OPSEC expose parfois des IPs iraniennes. Un cas décrit montre une présence de plusieurs mois, désactivation de Windows Defender, reconnaissance et vol d’identifiants (dump LSASS via comsvcs.dll/rundll32, export de hives, ADRecon), et tentative de fetch depuis 107.189.19[.]52 avant la phase destructive.

• Mouvement latéral et contrôle. Le groupe se déplace majoritairement via RDP et installe manuellement NetBird (depuis le site officiel) pour créer un maillage privé zero-trust et atteindre des hôtes internes. Au moins cinq machines contrôlées simultanément ont été observées dans un incident, permettant d’accélérer et coordonner les actions destructrices.

• Phase destructrice. La distribution s’appuie sur GPO (scripts de logon) et tâches planifiées afin de propager plusieurs méthodes en parallèle: (1) un wiper custom Handala (ex. handala.exe) exécuté à distance depuis le contrôleur de domaine, incluant un effacement MBR et la corruption/destruction de fichiers; (2) un wiper PowerShell qui énumère et supprime les fichiers des profils utilisateurs, dépose une image de propagande (handala.gif) et présente des traces d’assistance IA; (3) l’usage de VeraCrypt (téléchargé du site officiel) pour chiffrer les disques et compliquer la reprise; (4) des suppressions manuelles (VMs, fichiers) via RDP.

• Recommandations clés. Le rapport préconise notamment: MFA renforcée, détection d’authentifications anormales (pays inédits, échecs répétés puis succès, volumes VPN atypiques, nouveaux ASNs/hosters), restriction géographique (bloc Iran/Starlink ou contrôles conditionnels), durcissement/limitation de RDP, politiques VPN plus strictes et surveillance des outils potentiellement indésirables (RMM, VPN comme NetBird, tunneling SSH pour Windows).

IOCs (extraits) 🔎

  • Hashs:
    • Handala Wiper: 5986ab04dd6b3d259935249741d3eff2
    • PowerShell Wiper: 3cb9dea916432ffb8784ac36d1f2d3cd
    • VeraCrypt Installer: 3236facc7a30df4ba4e57fddfba41ec5
    • NetBird Installer: 3dfb151d082df7937b01e2bb6030fe4a
    • NetBird: e035c858c1969cffc1a4978b86e90a30
  • Infrastructures:
    • VPS Handala: 82.25.35[.]25, 31.57.35[.]223, 107.189.19[.]52
    • Nœud VPN: 146.185.219[.]235
    • Plages Starlink: 188.92.255.X, 209.198.131.X
    • VPN commerciaux: 149.88.26.X, 169.150.227.X
  • Noms de machines observés: WIN-P1B7V100IIS, DESKTOP-FK1NPHF, DESKTOP-R1FMLQP, WIN-DS6S0HEU0CA, DESKTOP-T3SOB36, WIN-GPPA5GI4QQJ, VULTR-GUEST, DESKTOP-HU45M79, DESKTOP-TNFP4JF, DESKTOP-14O69KQ, DESKTOP-9KG46L1, DESKTOP-G2MH4KD (et autres listés).

TTPs / MITRE ATT&CK 🧰

  • Accès initial: T1133 (External Remote Services via VPN), T1078.002 (Valid Accounts: Domain), T1199 (Trusted Relationship)
  • Vol d’identifiants: T1110 (Brute Force), T1003.001 (LSASS Memory), T1003.002 (SAM)
  • Découverte: T1087.002 (Domain Account) via ADRecon
  • Mouvement latéral/contrôle: T1021.001 (RDP), T1572 (Protocol Tunneling – NetBird), T1105 (Ingress Tool Transfer), T1047 (WMIC)
  • Persistance/exécution: T1484.001 (Group Policy Modification), T1037.003 (Network Logon Script), T1053.005 (Scheduled Task), T1059.001 (PowerShell)
  • Impact: T1561.002 (Disk Structure Wipe – MBR), T1485 (Data Destruction), T1486 (Data Encrypted for Impact – VeraCrypt)

Conclusion: Il s’agit d’une analyse de menace/publi de recherche détaillée visant à documenter l’attribution, les TTPs et les IOCs de Handala Hack/Void Manticore afin d’éclairer la défense.

🧠 TTPs et IOCs détectés

TTP

T1133 (External Remote Services via VPN), T1078.002 (Valid Accounts: Domain), T1199 (Trusted Relationship), T1110 (Brute Force), T1003.001 (LSASS Memory), T1003.002 (SAM), T1087.002 (Domain Account) via ADRecon, T1021.001 (RDP), T1572 (Protocol Tunneling – NetBird), T1105 (Ingress Tool Transfer), T1047 (WMIC), T1484.001 (Group Policy Modification), T1037.003 (Network Logon Script), T1053.005 (Scheduled Task), T1059.001 (PowerShell), T1561.002 (Disk Structure Wipe – MBR), T1485 (Data Destruction), T1486 (Data Encrypted for Impact – VeraCrypt)

IOC

5986ab04dd6b3d259935249741d3eff2, 3cb9dea916432ffb8784ac36d1f2d3cd, 3236facc7a30df4ba4e57fddfba41ec5, 3dfb151d082df7937b01e2bb6030fe4a, e035c858c1969cffc1a4978b86e90a30, 82.25.35[.]25, 31.57.35[.]223, 107.189.19[.]52, 146.185.219[.]235, 188.92.255.X, 209.198.131.X, 149.88.26.X, 169.150.227.X, WIN-P1B7V100IIS, DESKTOP-FK1NPHF, DESKTOP-R1FMLQP, WIN-DS6S0HEU0CA, DESKTOP-T3SOB36, WIN-GPPA5GI4QQJ, VULTR-GUEST, DESKTOP-HU45M79, DESKTOP-TNFP4JF, DESKTOP-14O69KQ, DESKTOP-9KG46L1, DESKTOP-G2MH4KD

🔗 Source originale : https://research.checkpoint.com/2026/handala-hack-unveiling-groups-modus-operandi/