Vue lecture

↗️

Handala Hack, un groupe hacktiviste iranien aux méthodes destructrices

✇Silicon
Par : Philippe Leroy

Handala Hack n’est pas un groupe isolé. Selon les chercheurs de Check Point Research, il s’agit d’un persona en ligne opéré par Void Manticore (également connu sous les noms Red Sandstorm ou Banished Kitten), un groupe que le MOIS, le Ministère iranien du Renseignement et de la Sécurité, pilote directement.

Void Manticore possède en réalité plusieurs façades publiques distinctes. Outre Handala Hack, actif depuis fin 2023 et ciblant principalement Israël, on compte Homeland Justice, un persona que le groupe maintient depuis mi-2022 pour des attaques contre des cibles gouvernementales, télécom et autres secteurs en Albanie, ainsi que Karma, persona aujourd’hui disparu que Handala a vraisemblablement absorbé.

Les chercheurs notent que dans certaines intrusions, la communication à destination des victimes (messages dans les wipers, notes que les attaquants laissaient dans les environnements compromis) se présentait sous le nom Karma, tandis que les données volées transitaient ensuite vers Handala pour y être publiées.

Le nom et l’iconographie du groupe s’inspirent du personnage de bande dessinée palestinien Handala. L’entité a récemment élargi son périmètre d’action aux États-Unis, ciblant notamment le géant de la technologie médicale Stryker.

D’après des sources publiques citées dans le rapport, Void Manticore présenterait des chevauchements d’activité avec la Direction de la sécurité intérieure du MOIS, et plus précisément sa Division de lutte contre le terrorisme dirigée par Seyed Yahya Hosseini Panjakit tué par des frappes israéliennes sur l’Iran au début du mois.

Des accès initiaux obtenus via la chaîne d’approvisionnement IT

Handala cible de manière systématique les fournisseurs de services IT pour obtenir des identifiants d’accès. Le groupe les exploite ensuite pour s’introduire dans les environnements VPN des organisations victimes.

L’analyse révèle des centaines de tentatives de connexion et de brute-force contre des infrastructures VPN, originaires de nœuds VPN commerciaux et fréquemment liées à des noms d’hôtes Windows par défaut du type DESKTOP-XXXXXX ou WIN-XXXXXX.

Un élément est notable : après la coupure d’internet en Iran en janvier, les chercheurs ont observé ce type d’activité provenant de plages d’adresses IP Starlink, une tendance qui s’est poursuivie.

En parallèle, la discipline opérationnelle du groupe s’est dégradée : les analystes ont relevé des connexions directes depuis des adresses IP iraniennes, là où le groupe utilisait auparavant des nœuds VPN commerciaux pour masquer son origine.

Une phase de reconnaissance discrète avant la destruction

Dans au moins une intrusion récente que les chercheurs attribuent à Handala, le groupe a établi son accès initial plusieurs mois avant la phase destructrice. Durant cette période de latence, il a accumulé accès persistants et identifiants d’administration de domaine.

Les activités pré-impact observées comprennent :

  • La désactivation de Windows Defender
  • Des opérations de reconnaissance et de vol d’identifiants, incluant le dump de la mémoire du processus LSASS via rundll32.exe et comsvcs.dll
  • L’export de ruches de registre sensibles (HKLM)
  • L’exécution d’ADRecon (dra.ps1), un framework PowerShell de reconnaissance Active Directory, permettant d’obtenir des identifiants d’administrateur de domaine

Déplacement latéral : RDP et tunnelisation via NetBird

La marque de fabrique de Void Manticore est son fonctionnement manuel, « hands-on ». Le déplacement latéral s’effectue principalement via RDP (Remote Desktop Protocol). Pour atteindre les hôtes non directement accessibles depuis l’extérieur, le groupe déploie désormais NetBird, une plateforme open source permettant de créer des réseaux maillés privés « zero-trust ».

Les attaquants déploient NetBird manuellement : les attaquants se connectent en RDP sur les machines compromises, puis utilisent le navigateur web local pour télécharger le logiciel directement depuis le site officiel.

En installant NetBird sur plusieurs machines, ils établissent une connectivité interne entre systèmes, accélérant ainsi l’activité destructrice. Lors d’un incident, les chercheurs ont observé au moins cinq machines distinctes sous contrôle des attaquants opérant simultanément dans l’environnement.

Quatre méthodes de destruction déployées simultanément

La phase destructrice constitue la signature de Handala. Le groupe déploie quatre techniques de wiping en parallèle, qu’il distribue via les stratégies de groupe (GPO) pour maximiser l’impact.

1. Le Handala Wiper (exécutable custom)

Un wiper personnalisé, parfois nommé handala.exe, le groupe distribue via des scripts de connexion GPO à travers un fichier batch (handala.bat).Les attaquants le lancent à distance depuis le contrôleur de domaine sans l’écrire sur le disque des machines cibles. Il écrase le contenu des fichiers et emploie des techniques de wiping MBR pour corrompre ou détruire les données au niveau du disque.

2. Le Handala PowerShell Wiper (assisté par IA)

Un second wiper, cette fois en PowerShell, que le groupe distribue également par GPO. Il énumère et supprime tous les fichiers dans les répertoires C:\Users. Selon les chercheurs, la structure du code et la qualité détaillée des commentaires suggèrent que les attaquants ont développé ce script avec l’assistance de l’IA. En dernière étape, le script dépose une image de propagande nommée handala.gif sur tous les disques logiques.

3. Chiffrement des disques via VeraCrypt

Pour renforcer l’impact destructeur, les attaquants téléchargent VeraCrypt, un outil légitime de chiffrement de disque, directement depuis le site officiel en passant par le navigateur de la machine compromise. En chiffrant les disques système, ils rendent la récupération encore plus difficile, même si les autres composants de wiping n’ont que partiellement fonctionné.

4. Suppression manuelle

Dans certains cas, les opérateurs de Handala suppriment manuellement les machines virtuelles directement depuis la plateforme de virtualisation, ou suppriment des fichiers en se connectant en RDP, en sélectionnant tous les fichiers et en les effaçant. Handala a lui-même documenté ce comportement dans des vidéos et des matériaux qu’il diffuse.

Des TTPs stables, mais quelques évolutions notables

Les chercheurs soulignent que les TTPs de Void Manticore sont demeurées largement stables de 2024 à 2026, reposant sur des opérations manuelles, des wipers prêts à l’emploi, et des outils publics de suppression et de chiffrement. Deux évolutions récentes méritent toutefois attention. D’abord, l’adoption de NetBird pour la tunnelisation du trafic et l’accès aux hôtes internes. Ensuite, le recours à l’IA pour générer des scripts PowerShell de wiping

Recommandations pour les défenseurs

Le rapport formule plusieurs recommandations pratiques :

  • 1

    Imposer l’authentification multi-facteurs (MFA) pour tous les accès distants et les comptes privilégiés.

  • 2

    Surveiller les activités d’authentification suspectes : connexions depuis des pays inhabituels, horaires atypiques, pics de transfert de données en session VPN, enregistrement de nouveaux appareils, nouvelles plages ASN.

  • 3

    Restreindre les connexions depuis l’Iran et les plages Starlink exploitées par des acteurs iraniens — envisager de limiter temporairement le VPN aux seuls pays liés à l’activité de l’organisation.

  • 4

    Durcir et restreindre l’accès RDP, le désactiver là où il n’est pas nécessaire, et surveiller les connexions depuis des machines aux noms par défaut (DESKTOP-XXXXXX / WIN-XXXXXXXX).

  • 5

    Surveiller l’usage d’outils potentiellement indésirables : outils RMM, applications VPN comme NetBird, et utilitaires de tunnelisation SSH.

Image : © DR

The post Handala Hack, un groupe hacktiviste iranien aux méthodes destructrices appeared first on Silicon.fr.

  •  
  • ↗️
❌