За кибератаками на израильские компании стоит единая экосистема под управлением Тегерана.
Иранская киберкампания, которую в разные годы связывали с названиями Homeland Justice, KarmaBelow80 и Handala, похоже, оказалась не набором разрозненных групп, а единой системой под разными вывесками. К такому выводу пришли специалисты , сопоставив данные американских ведомств, материалы частных компаний, сведения о доменах и многолетний архив публикаций в сети и Telegram.
По их оценке, за всеми тремя названиями, с высокой вероятностью, стоит экосистема, связанная с Министерством разведки и безопасности Ирана. Речь идёт не о нескольких самостоятельных «хактивистах», а о скоординированной структуре, где разные бренды выполняют разные задачи. Один нужен для атак и вывода систем из строя, другой – для публикации украденных данных и давления на жертв, третий – для политически окрашенной подачи и информационного эффекта.
Авторы анализа считают, что цепочка прослеживается довольно чётко. Сначала в 2022 году появилась Homeland Justice, которая участвовала в атаках на государственные структуры Албании. Затем в конце 2023 года активность против израильских целей начали вести под именем Karma. С 2024 года заметную роль получила Handala. При смене названий общий почерк, инфраструктура, способы продвижения в Telegram и логика выбора целей оставались очень похожими.
В материале говорится, что кампания постепенно выросла из разрушительных атак в более широкую систему влияния. На раннем этапе злоумышленники получали доступ к сетям, похищали данные, шифровали или стирали информацию, а затем публично брали на себя ответственность. Позже операторы начали следить за жертвами, удерживать постоянный доступ к системам, точечно наблюдать за конкретными людьми и давить на них, публикуя личные данные. В итоге кибератаки, наблюдение и информационные операции слились в единую схему.
С 2024 года центральной публичной фигурой всё чаще становится Handala. Анализ доменов handala-hack[.]ps, handala-hack[.]tw и других адресов показывает, что инфраструктура у этой кампании изначально расходная. Домены быстро появляются, используются, исчезают и заменяются новыми, но узнаваемое имя сохраняется. Такой подход помогает переживать блокировки и изъятия, не теряя аудиторию и эффект узнавания.
Авторы отдельно отмечают, что сайты Handala обычно просты по устройству и нередко работают на WordPress. Главная роль таких площадок – не в том, чтобы размещать вредоносные программы, а в публикации заявлений, сливов и угроз. Настоящая техническая работа идёт в другом слое, внутри взломанных сетей, а домены служат витриной и точкой привязки для публикаций, которые затем разносятся через Telegram и социальные сети.
Что публикуют после взломов
Содержимое утечек делится на несколько типов. Чаще всего публикуют электронную переписку, чтобы показать глубину доступа. Второй блок составляют персональные данные, номера телефонов и списки контактов, которые используют для запугивания и давления. Третий блок связан с заявлениями о доступе к критически важной инфраструктуре, например к системам водоснабжения или электросетям. Даже когда такие утверждения трудно проверить, сами публикации работают как инструмент психологического давления.
На практике последствия операций Handala, по оценке авторов, чаще всего лежат не в технической, а в психологической и репутационной плоскости. Среди немногих случаев, где ущерб выглядел действительно масштабным, в анализе упоминается инцидент со Stryker Corporation . По имеющимся данным, атака нарушила работу компании: она перестала обрабатывать заказы, производить и отгружать продукцию, а на восстановление ушло несколько дней. Также сообщалось об удалённом стирании десятков тысяч устройств. Именно этот эпизод, как считают авторы, вышел далеко за рамки обычной утечки и привлёк внимание правоохранительных органов.
Другой пример связан с тем, что злоумышленники опубликовали личную переписку, изображения и документы, приписываемые Kash Patel . В этом случае главной целью, по оценке специалистов, был не столько технический ущерб, сколько публичное унижение, давление и создание возможных контрразведывательных рисков. Часть других эпизодов остаётся спорной. Некоторые атаки получили широкую огласку, но независимого подтверждения полного масштаба последствий по ним так и не появилось.
Слежка и Telegram как часть схемы
Отдельное направление кампании связано со слежкой. С конца 2023 года операторы всё активнее применяют поддельные приложения, замаскированные под мессенджеры, менеджеры паролей и другие полезные программы. После запуска такие файлы устанавливают вредоносные модули, чтобы постоянно наблюдать за жертвами. По данным авторов, вредоносные программы умеют делать снимки экрана, перехватывать звук, собирать файлы и похищать учётные данные.
Особое место в этой схеме занимает Telegram. Платформа служит сразу двум целям. С одной стороны, через Telegram Bot API вредоносные программы получают команды и отправляют украденные данные, маскируя вредоносный трафик под обычное общение в мессенджере. С другой стороны, те же каналы используются для пропаганды, публикации заявлений и продвижения утечек. Такой двойной формат связывает скрытую техническую часть операции с её публичной, медийной частью.
Авторы описывают развитие инструментария по этапам. Сначала операторы делали ставку на длительное скрытое присутствие, а затем одновременно шифровали и стирали данные. Затем появились более быстрые и жёсткие средства уничтожения. На этапе Karma к вредоносным программам добавили ручную работу в системе и начали активнее применять штатные инструменты. Под брендом Handala схема стала ещё гибче. Злоумышленники начали сочетать собственные «вайперы», сценарии PowerShell, законные средства шифрования вроде VeraCrypt и корпоративные инструменты для разведки внутри сети.
Самым тревожным признаком нового этапа авторы считают атаку на систему управления устройствами Microsoft Intune в случае со Stryker. По этой версии, злоумышленники получили доступ не просто к отдельным компьютерам, а к облачной панели администрирования, через которую компания управляет большим числом устройств. Такой доступ позволяет отдавать команды сразу тысячам компьютеров и телефонов, обходясь без классического вредоносного файла на каждом из них. Если оценка верна, кампания вышла на новый уровень, где цель смещается с отдельных рабочих станций на центральные узлы управления всей корпоративной средой.
Специалисты указывают и на новую активность в доменной инфраструктуре. С 19 по 23 марта 2026 года, по их данным, операторы зарегистрировали как минимум восемь новых доменов, связанных сразу с тремя брендами: Handala, KarmaBelow80 и Homeland Justice. Среди них названы handala-hack[.]pro, handala-hack[.]shop, handala-hack[.]tw, handala-redwanted[.]cc, handala-redwant[.]to, karmabelow80[.]biz, karmabelow80[.]st и Homeland Justice[.]info. Такая плотная серия регистраций, по мнению авторов, похожа не на обычную текучку, а на подготовку к новым операциям или восстановление инфраструктуры после сбоев и блокировок.
Главный вывод анализа звучит так: Homeland Justice, KarmaBelow80 и Handala лучше рассматривать как разные маски одной и той же структуры. Разница между названиями связана не с разными организациями, а с разными ролями внутри общей кампании. Один и тот же аппарат может вести разведку, стирать данные, публиковать утечки и запускать информационное давление, меняя вывеску в зависимости от аудитории и задачи.
Если выводы авторов верны, речь идёт уже не о серии отдельных атак, а о постоянно действующем государственном механизме. Такой механизм умеет быстро восстанавливать инфраструктуру, менять названия, переносить активность между странами и совмещать взломы с психологическим давлением. Главная сила кампании, по всей видимости, заключается не только во вредоносных программах, но и в умении превращать каждый успешный или даже частично подтверждённый взлом в громкую историю, которая работает на запугивание, репутационный удар и политический эффект.
