🗓️ Contexte

Le 11 juin 2026, Dataminr a émis une alerte Flash détectant une revendication de compromission par le groupe Handala contre California Water Service (Cal Water), l’un des plus grands services d’eau aux États-Unis, desservant environ deux millions de clients dans 100 communautés californiennes. L’analyse a été publiée le 13 juin 2026.

🎯 Nature de l’incident

Handala a publié un package de preuve de concept de 5 Go via son blog, cohérent avec son modèle opérationnel de hack-and-leak. L’analyse de Dataminr identifie une double compromission :

  • Système de facturation client : PII confirmées incluant noms, adresses de service, numéros de téléphone, numéros de compte et historiques de paiement
  • Réseau RTKBase NTRIP : accès administratif à l’infrastructure GPS de précision interne de Cal Water, couvrant sept districts opérationnels (Bakersfield, Chico, Salinas, Stockton, Visalia, San Mateo, et un segment d’ingénierie régional)

🔧 Détails techniques

  • Le RTKBase est une application GNSS open-source légère, typiquement déployée sur matériel de type Raspberry Pi, avec un panneau d’administration web souvent exposé sans authentification renforcée
  • Le déploiement Cal Water utilisait le port HTTP standard 10000 sur les mountpoints de district
  • L’instance RTKBase était opérationnelle depuis environ 783 heures continues au moment de l’accès
  • Des identifiants administratifs RTKBase en clair et un mot de passe source NTRIP ont été publiés dans le dump
  • Le bloc IP supportant le réseau NTRIP de Cal Water est entièrement énuméré dans la publication
  • Le réseau RTKBase est évalué comme vecteur d’accès initial ou point de pivot latéral vers l’environnement de facturation

🕵️ Attribution et motivation

Handala est évalué avec haute confiance comme un front affilié au MOIS (Ministry of Intelligence and Security iranien), opérant au sein de l’écosystème Banished Kitten, également tracké sous les noms Void Manticore (Check Point Research) et Storm-0842 (Microsoft). Le groupe est actif depuis décembre 2023, avec une escalade significative des opérations ciblant les États-Unis depuis février 2026.

Cet incident s’inscrit dans le cadre d’une campagne iranienne active ciblant les infrastructures du secteur de l’eau américain, conformément à une advisory fédérale 2026 spécifiquement dédiée à ce sujet.

⚠️ Capacités malveillantes connues

Bien qu’aucune perturbation OT/ICS ne soit confirmée dans cet incident, le toolkit de Handala inclut :

  • win.handala (wiper custom)
  • Handala Wiper
  • Hamsa Wiper
  • Capacités d’écrasement MBR

Le groupe a démontré sa volonté d’escalader du vol de données vers des opérations destructives, comme illustré par l’attaque wiper Stryker de mars 2026.

📋 Type d’article

Il s’agit d’un rapport d’incident publié par Dataminr, combinant analyse technique du dump publié, attribution threat intelligence et évaluation de l’impact opérationnel pour les équipes de sécurité du secteur des utilities.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1021 — Remote Services (Lateral Movement)
  • T1005 — Data from Local System (Collection)
  • T1530 — Data from Cloud Storage (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1485 — Data Destruction (Impact)
  • T1561.002 — Disk Wipe: Disk Structure Wipe (Impact)

Malware / Outils

  • win.handala (other)
  • Handala Wiper (other)
  • Hamsa Wiper (other)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ dataminr.com — source non référencée (0pts)
  • ✅ 9936 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Handala, Void Manticore, Storm-0842 (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.dataminr.com/resources/intel-brief/cyber-intel-brief-handala-claims-breach-of-california-water-service