MOIS-linked : Homeland Justice, Karma et Handala forment un écosystème cyber iranien unifié

🌐 Contexte

Publié le 17 avril 2026 par DomainTools, ce rapport constitue une analyse de menace approfondie portant sur l’évolution des personas cyber Homeland Justice, Karma/KarmaBelow80 et Handala, évalués à haute confiance comme constituant un écosystème cyber-influence coordonné aligné sur le MOIS (Ministry of Intelligence and Security iranien).

🎭 Attribution et structure

L’analyse établit que ces trois personas ne sont pas des groupes hacktivistes indépendants mais des couches opérationnelles d’un appareil centralisé unique. Un individu nommé Seyed Yahya Hosseini Panjaki, affilié au MOIS, est identifié comme occupant une fonction de commandement au sein de cette structure. Chaque persona remplit un rôle distinct :

• Homeland Justice : bras disruptif et punitif (Albanie, 2022)
• Karma/KarmaBelow80 : interface adaptative multi-contexte (Israël, 2023-2024)
• Handala : identité durable pour opérations multi-théâtres (2024-présent)

📅 Évolution chronologique des campagnes

Phase I – Albanie (mai 2021 – sept. 2022) : Accès initial via exploitation d’une vulnérabilité Microsoft SharePoint exposée sur Internet, 14 mois avant l’impact. Déploiement de webshells, mouvement latéral via RDP/SMB/FTP, exfiltration massive, puis destruction combinant ransomware-style encryption (GoXML.exe) et disk wiping (cl.exe).

Phase II – No-Justice Wiper (fin 2023) : Raffinement destructif avec binaires signés (Ptable.exe / NACL.exe), propagation PowerShell, ciblage des structures de démarrage OS.

Phase III – Karma/Israël (oct. 2023 – mi-2024) : Approche hybride combinant webshells custom (Karma Shell), outils de validation de credentials (do.exe), BiBi Wiper (Windows/Linux), SDelete, techniques manuelles living-off-the-land.

Phase IV – Handala destructif (2025-2026) : Wipers modulaires (handala.exe), suppression récursive PowerShell, chiffrement via VeraCrypt, connectivité réseau via NetBird, visibilité AD via ADRecon.

Phase V – Surveillance Telegram (automne 2023 – 2026) : Leurres trojanisés (Telegram_Authenticator.exe, KeePass.exe, Pictory_premium_ver9.0.4.exe), implants modulaires avec capture audio/écran/fichiers, C2 via Telegram Bot API (api.telegram.org).

Phase VI – Incident Stryker (mars 2026) : Compromission d’un compte administrateur Microsoft Intune, déclenchement de wipe centralisé sur 80 000 à 200 000 appareils simultanément, exfiltration d’environ 50 To de données, impact sur la production, les commandes et les expéditions de Stryker Corporation.

🎯 Cibles et impacts vérifiés

• Stryker Corporation : disruption opérationnelle confirmée (HIGH confidence), wipe massif d’appareils, saisies de domaines par les forces de l’ordre
• Kash Patel : exposition d’emails personnels, risque contre-intelligence (HIGH)
• Hebrew University of Jerusalem : 40-48 To wipés revendiqués, 23 To exfiltrés (MEDIUM)
• VahidOnline : exposition de ~180 000 identités de dissidents (MEDIUM-HIGH)
• Sima Shine, Ilan Steiner, Deborah Oppenheimer, Eran Ortal : opérations hack-and-leak ciblant l’écosystème sécuritaire israélien
• Verifone : revendication démentie, aucune disruption confirmée (LOW)

🏗️ Infrastructure et domaines

Entre le 19 et le 23 mars 2026, au moins 8 nouveaux domaines ont été enregistrés en rafale :

• Handala : handala-hack[.]pro, handala-hack[.]shop, handala-hack[.]tw, handala-redwanted[.]cc, handala-redwant[.]to
• Karma : karmabelow80[.]biz, karmabelow80[.]st
• Homeland Justice : homelandjustice[.]info

Domaines publics historiques : homelandjustice[.]org, handala-hack[.]to, handala-redwanted[.]to, karmabelow80[.]org, homelandjustice[.]cx, homelandjustice[.]ru, handala-hack[.]ps, handala-hack[.]tw

Telegram est utilisé en double usage : C2 covert via Bot API et diffusion overt via canaux publics (@HANDALA_INTEL, @HomelandJustice1).

📊 Type d’article

Il s’agit d’une analyse de menace approfondie à visée CTI, combinant enrichissement DNS passif, analyse d’archives Telegram, revue de rapports gouvernementaux et privés, et cartographie MITRE ATT&CK par phase de campagne. L’objectif principal est de démontrer l’unité structurelle de l’écosystème MOIS-linked et d’en documenter l’évolution technique et opérationnelle.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Homeland Justice (state-sponsored) — orkl.eu · Malpedia
• Handala (state-sponsored) — orkl.eu · Malpedia
• Karma (state-sponsored) — orkl.eu
• KarmaBelow80 (state-sponsored) — orkl.eu
• Void Manticore (state-sponsored) — orkl.eu · Malpedia

TTP

• T1190 — Exploit Public-Facing Application (Initial Access)
• T1566 — Phishing (Initial Access)
• T1204 — User Execution (Execution)
• T1059 — Command and Scripting Interpreter (Execution)
• T1059.001 — PowerShell (Execution)
• T1218.011 — Rundll32 (Defense Evasion)
• T1505.003 — Web Shell (Persistence)
• T1547 — Boot/Logon Autostart Execution (Persistence)
• T1547.001 — Registry Run Keys / Startup Folder (Persistence)
• T1078 — Valid Accounts (Privilege Escalation)
• T1036 — Masquerading (Defense Evasion)
• T1070 — Indicator Removal (Defense Evasion)
• T1218 — System Binary Proxy Execution (Defense Evasion)
• T1562 — Impair Defenses (Defense Evasion)
• T1003.001 — LSASS Memory (Credential Access)
• T1555 — Credentials from Password Stores (Credential Access)
• T1087 — Account Discovery (Discovery)
• T1018 — Remote System Discovery (Discovery)
• T1069 — Permission Groups Discovery (Discovery)
• T1021.001 — Remote Desktop Protocol (Lateral Movement)
• T1021.002 — SMB/Windows Admin Shares (Lateral Movement)
• T1114.002 — Remote Email Collection (Collection)
• T1005 — Data from Local System (Collection)
• T1113 — Screen Capture (Collection)
• T1123 — Audio Capture (Collection)
• T1071.001 — Web Protocols (Command and Control)
• T1102 — Web Service (Command and Control)
• T1105 — Ingress Tool Transfer (Command and Control)
• T1041 — Exfiltration Over C2 Channel (Exfiltration)
• T1485 — Data Destruction (Impact)
• T1486 — Data Encrypted for Impact (Impact)
• T1561.001 — Disk Wipe: Disk Content Wipe (Impact)
• T1490 — Inhibit System Recovery (Impact)
• T1583.001 — Domains (Resource Development)
• T1585.001 — Social Media Accounts (Resource Development)
• T1608 — Stage Capabilities (Resource Development)

IOC

• Domaines : homelandjustice.org — VT · URLhaus · ThreatFox
• Domaines : homelandjustice.cx — VT · URLhaus · ThreatFox
• Domaines : homelandjustice.ru — VT · URLhaus · ThreatFox
• Domaines : homelandjustice.info — VT · URLhaus · ThreatFox
• Domaines : handala-hack.to — VT · URLhaus · ThreatFox
• Domaines : handala-hack.ps — VT · URLhaus · ThreatFox
• Domaines : handala-hack.tw — VT · URLhaus · ThreatFox
• Domaines : handala-hack.pro — VT · URLhaus · ThreatFox
• Domaines : handala-hack.shop — VT · URLhaus · ThreatFox
• Domaines : handala-redwanted.to — VT · URLhaus · ThreatFox
• Domaines : handala-redwanted.cc — VT · URLhaus · ThreatFox
• Domaines : handala-redwant.to — VT · URLhaus · ThreatFox
• Domaines : karmabelow80.org — VT · URLhaus · ThreatFox
• Domaines : karmabelow80.biz — VT · URLhaus · ThreatFox
• Domaines : karmabelow80.st — VT · URLhaus · ThreatFox
• SHA256 : 36cc72c55f572fe02836f25516d18fed1de768e7f29af7bdf469b52a3fe2531f — VT · MalwareBazaar
• MD5 : bbe983dba3bf319621b447618548b740 — VT · MalwareBazaar
• MD5 : 7b71764236f244ae971742ee1bc6b098 — VT · MalwareBazaar
• MD5 : 78562ba0069d4235f28efd01e3f32a82 — VT · MalwareBazaar
• MD5 : 81e123351eb80e605ad73268a5653ff3 — VT · MalwareBazaar
• MD5 : a9fa6cfdba41c57d8094545e9b56db36 — VT · MalwareBazaar
• MD5 : 8f766dea3afd410ebcd5df5994a3c571 — VT · MalwareBazaar
• MD5 : 60afb1e62ac61424a542b8c7b4d2cf01 — VT · MalwareBazaar
• MD5 : 1635e1acd72809479e21b0ac5497a79b — VT · MalwareBazaar
• MD5 : 18e01dee14167c1cf8a58b6a648ee049 — VT · MalwareBazaar
• MD5 : 59a85e8ec23ef5b5c215cd5c8e5bc2ab — VT · MalwareBazaar
• MD5 : 8f6e7653807ebb57ecc549cef991d505 — VT · MalwareBazaar
• MD5 : 0738242a521bdfe1f3ecc173f1726aa1 — VT · MalwareBazaar
• MD5 : 5986ab04dd6b3d259935249741d3eff2 — VT · MalwareBazaar
• MD5 : 3cb9dea916432ffb8784ac36d1f2d3cd — VT · MalwareBazaar
• MD5 : 3236facc7a30df4ba4e57fddfba41ec5 — VT · MalwareBazaar
• MD5 : 3dfb151d082df7937b01e2bb6030fe4a — VT · MalwareBazaar
• MD5 : e035c858c1969cffc1a4978b86e90a30 — VT · MalwareBazaar
• MD5 : B9086413E7B6A0C6A11C25D14C22615F — VT · MalwareBazaar
• MD5 : 7402F2F9263782A4C469570035843510 — VT · MalwareBazaar
• MD5 : 1E6B601F733BC40EAA58916986BFC5B9 — VT · MalwareBazaar
• MD5 : EBDD9595B79B39F53909D862499DBC94 — VT · MalwareBazaar
• MD5 : E51FF37FB431767DCDEC0B5E6D2A786A — VT · MalwareBazaar
• MD5 : D70EBF20E3D697897BAD5BEBF72EA271 — VT · MalwareBazaar
• MD5 : F8B5554808428291ACC65D1FD2EFE01C — VT · MalwareBazaar
• MD5 : 3E7A2FCEF1D038D05B20148C573A6499 — VT · MalwareBazaar
• MD5 : 481C5B5E69A08C3DF206C59FD8DDC0DC — VT · MalwareBazaar
• MD5 : 7E23FFADB664B0E53D821478A249D84C — VT · MalwareBazaar
• MD5 : A3394EF7FFA7E88B2E7EFAEE4617FE04 — VT · MalwareBazaar
• MD5 : 2965817D063F1E8F9889F9126443D631 — VT · MalwareBazaar
• Fichiers : GoXML.exe
• Fichiers : cl.exe
• Fichiers : mellona.exe
• Fichiers : Error4.aspx
• Fichiers : ClientBin.aspx
• Fichiers : Pickers.aspx
• Fichiers : disable_defender.exe
• Fichiers : win.bat
• Fichiers : bb.bat
• Fichiers : rwdsk.sys
• Fichiers : Goxml.jpg
• Fichiers : Ptable.exe
• Fichiers : NACL.exe
• Fichiers : p.ps1
• Fichiers : do.exe
• Fichiers : handala.exe
• Fichiers : Telegram_Authenticator.exe
• Fichiers : KeePass.exe
• Fichiers : Pictory_premium_ver9.0.4.exe
• Fichiers : WhatssApp.exe
• Fichiers : RuntimeSSH.exe
• Fichiers : MicDriver.exe
• Fichiers : MicDriver.dll
• Fichiers : MsCache.exe
• Fichiers : winappx.exe
• Fichiers : smqdservice.exe
• Fichiers : rantom.txt

Malware / Outils

• GoXML.exe (ransomware)
• cl.exe (disk wiper) (other)
• mellona.exe (tool)
• No-Justice Wiper (other)
• BiBi Wiper (other)
• Karma Shell (backdoor)
• do.exe (tool)
• reGeorg (tool)
• handala.exe (other)
• VeraCrypt (tool)
• NetBird (tool)
• ADRecon (tool)
• SDelete (tool)
• Telegram_Authenticator.exe (loader)
• KeePass.exe (trojanized) (loader)
• Pictory_premium_ver9.0.4.exe (loader)
• RuntimeSSH.exe (backdoor)
• MicDriver.exe (rat)
• MsCache.exe (stealer)
• smqdservice.exe (other)

---

🟢 Indice de vérification factuelle : 92/100 (haute)

• ✅ dti.domaintools.com — source reconnue (Rösti community) (20pts)
• ✅ 77080 chars — texte complet (fulltext extrait) (15pts)
• ✅ 72 IOCs dont des hashes (15pts)
• ✅ 2/4 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (12pts)
• ✅ 36 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : Homeland Justice, Handala, Karma (5pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• 36cc72c55f572fe0… (sha256) → VT (51/77 détections)
• homelandjustice.ru (domain) → VT (7/94 détections)

---

🔗 Source originale : https://dti.domaintools.com/research/mois-linked-moist-grasshopper-homeland-justice-karmabelow80-handala-hackers-campaigns-and-evolution