Le groupe hacktiviste pro-palestinien Handala, lié à l’Iran, a compromis les credentials Global Admin de Stryker Corporation pour déclencher un wipe massif via Microsoft Intune le 11 mars 2026.
🗓️ Contexte
Source : ThreatHunter.ai, publié le 21 mars 2026. L’article analyse l’attaque destructrice menée par Handala contre Stryker Corporation, fabricant américain de dispositifs médicaux, dans la nuit du 11 mars 2026.
💥 Déroulement de l’attaque
Les attaquants ont compromis l’environnement Microsoft Entra ID de Stryker et obtenu des credentials Global Administrator. Ils ont ensuite émis des commandes de wipe à distance en masse via Microsoft Intune, la plateforme MDM cloud de l’entreprise. L’attaque a débuté juste après minuit EDT et a touché :
- Des laptops d’entreprise
- Des serveurs
- Des appareils personnels (BYOD) inscrits dans Intune
Les écrans de connexion ont été remplacés par le logo Handala. Des emails revendiquant l’attaque ont été envoyés directement aux dirigeants. Stryker a renvoyé plus de 5 000 employés de son siège de Cork (Irlande) et a déposé un formulaire 8-K auprès de la SEC confirmant une perturbation globale de son environnement Microsoft.
📦 Exfiltration préalable
Handala revendique l’exfiltration de 50 téraoctets de données avant le déclenchement du wipe, suggérant une présence dans le réseau pendant plusieurs jours ou semaines avant l’action destructrice.
🛰️ Infrastructure opérationnelle
Check Point Research a confirmé en janvier 2026 que les campagnes Handala utilisaient des plages IP Starlink de SpaceX (AS14593) pour contourner les blocages géographiques. Les terminaux Starlink sont illégaux en Iran mais largement introduits en contrebande.
🎯 Ciblage délibéré
Stryker a été sélectionné en raison de :
- Son acquisition de la société israélienne OrthoSpace en 2019
- Ses contrats DoD et VA
- Le contexte géopolitique : frappes militaires américaines et israéliennes contre l’Iran le 28 février 2026
Handala a également revendiqué une brèche simultanée chez Verifone. L’IRGC a déclaré comme cibles : Amazon AWS, Google, Microsoft, IBM, Nvidia, Oracle et Palantir.
🔍 Techniques d’attaque (MITRE ATT&CK)
- T1485 – Data Destruction (wipe via Intune)
- T1072 – Software Deployment Tools (abus d’Intune)
- T1078.004 – Valid Accounts: Cloud Accounts
- T1491 – Defacement (remplacement des écrans de connexion)
- T1005 – Data from Local System
- T1567 – Exfiltration Over Web Service
- T1098.003 – Account Manipulation: Additional Cloud Roles
📦 Pack de détection
ThreatHunter.ai a publié un pack de détection comprenant 10 règles Sigma, des requêtes KQL pour Microsoft Sentinel et des requêtes OpenSearch, couvrant l’ensemble de la chaîne d’attaque Handala.
📰 Type d’article
Il s’agit d’un rapport d’incident combiné à une analyse technique, publié par un éditeur de solutions de cybersécurité, avec pour objectif principal de documenter l’attaque et de distribuer un pack de détection exploitable.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Handala (hacktivist)
- Void Manticore (state-sponsored)
TTP
- T1485 — Data Destruction (Impact)
- T1072 — Software Deployment Tools (Execution)
- T1078.004 — Valid Accounts: Cloud Accounts (Defense Evasion)
- T1491 — Defacement (Impact)
- T1005 — Data from Local System (Collection)
- T1567 — Exfiltration Over Web Service (Exfiltration)
- T1098.003 — Account Manipulation: Additional Cloud Roles (Persistence)
Malware / Outils
- Microsoft Intune (abused) (tool)
🔗 Source originale : https://www.threathunter.ai/blog/iran-handala-stryker-wiper-detection-pack/