Tras las recientes escaladas del conflicto militar, las capacidades cibernéticas de Irán han entrado en una nueva fase. Un grupo de piratas informáticos anteriormente desconocido conocido como “Handala” se atribuyó la responsabilidad de una violación a gran escala de Stryker, una empresa de tecnología médica con sede en Estados Unidos, que paralizó sus operaciones globales. Este ataque es la primera gran ciberofensiva de Irán en respuesta a los ataques aéreos dirigidos al país, lo que indica un cambio hacia una guerra cibernética disruptiva.
Del hacktivismo al caos patrocinado por el Estado
Handala, que lleva el nombre del icónico personaje de dibujos animados palestino, históricamente ha operado en las sombras, ganando inicialmente poco reconocimiento dentro de la comunidad de ciberseguridad. Sin embargo, los expertos ahora creen que el grupo funciona como una fachada para el Ministerio de Inteligencia de Irán (MOIS). Combinan la retórica hacktivista con capacidades destructivas, explotando las tensiones políticas para infligir daño a los adversarios. El grupo se ha dirigido anteriormente a Albania, Israel y otras entidades, y a menudo publica datos robados o implementa malware de limpieza.
Escalada bajo presión
Mientras Irán enfrenta una creciente presión militar, sus piratas informáticos, especialmente Handala, probablemente estén operando con mayor urgencia y autorización más amplia. Sergey Shykevich, de Check Point, señala que el grupo está “todo adentro”, explotando los puntos de apoyo existentes en la red para llevar a cabo ataques destructivos. Handala se ha convertido en la “cara principal” de las represalias cibernéticas iraníes, cobrándose más de una docena de víctimas desde el reciente estallido del conflicto.
Incertidumbre estratégica
Si bien Handala se adjudica importantes victorias, los investigadores de seguridad advierten contra la sobreestimación de su profundidad estratégica. Rafe Pilling de Sophos X-Ops sugiere que el grupo probablemente esté explotando las oportunidades a medida que surgen en lugar de ejecutar una campaña meticulosamente planificada. Este enfoque oportunista implica un acceso rápido y un daño máximo, centrándose en objetivos en Israel y Estados Unidos para demostrar acciones de represalia.
Evolución y tácticas
Handala, que surgió a finales de 2023 tras los ataques de Hamás contra Israel, se presentó inicialmente como un grupo hacktivista pro palestino. Sin embargo, sus acciones se alinean con los intereses iraníes. Promueven ataques a Telegram y X, utilizan Starlink para eludir la censura y aprovechan la guerra psicológica mediante operaciones de pirateo y filtración. El grupo también ha utilizado malware destructivo, incluidos Coolwipe, Chillwipe y Bibiwiper, para infligir “dolor operativo real”.
Patrocinio estatal más amplio
Check Point ha vinculado a Handala con una red de piratería más grande patrocinada por el estado conocida como Void Manticore, que ha operado bajo múltiples alias, incluidos Red Sandstorm y Cobalt Mystique. Este grupo estuvo anteriormente vinculado a los ataques contra Albania en 2022, motivados por los esfuerzos del régimen iraní por expulsar a los grupos de oposición del país. Después de la guerra en Gaza, Void Manticore creó Handala para atacar a entidades israelíes bajo la apariencia de activismo pro palestino.
La infracción de Stryker
La última operación de Handala, la violación de Stryker, puede ser la más impactante hasta el momento. El grupo afirma que el ataque fue una represalia por los vínculos de la empresa con Israel, incluidas adquisiciones y contratos militares estadounidenses. Si bien la verdadera motivación aún no está clara, Shykevich sugiere que Handala aprovechó una oportunidad en lugar de ejecutar un plan calculado.
En última instancia, las tácticas agresivas de Handala reflejan la voluntad de Irán de intensificar la guerra cibernética como medio de represalia. El enfoque caótico pero destructivo del grupo plantea una amenaza significativa a la infraestructura occidental, particularmente en el contexto del conflicto militar en curso.
