Um grupo ligado ao Irã, conhecido como Handala Hack Team, alegou ter invadido a conta de e-mail pessoal do diretor do FBI, Kash Patel, e vazado fotos e documentos para a internet.
O FBI confirmou que os e-mails de Patel foram alvo e afirmou que medidas foram tomadas para mitigar riscos potenciais decorrentes da atividade.
Entre os arquivos vazados aparecem e-mails de 2010 e 2019 que teriam sido enviados por Patel, segundo o material divulgado pelos atacantes.
Pesquisadores apontam que o Handala Hack atua como uma persona hacktivista pró-Irã e tem ligações com o MOIS, operando sob vários apelidos.
Relatórios indicam que desde o final de 2023 o grupo mudou sua forma de atuação, ampliando o uso de infraestrutura pública e serviços hospedados na Tor e em plataformas externas de compartilhamento de arquivos.
Dados levantados pela StealthMole mostraram presença do grupo tanto em domínios da superfície quanto em serviços ocultos, além de arquivos expostos em sites de hospedagem.
Especialistas em segurança afirmam que o Handala tem como alvo provedores de TI e prestadores de serviços para capturar credenciais, frequentemente explorando contas VPN comprometidas como porta de entrada inicial.
Foram observadas diversas tentativas de login e ataques de força bruta contra infraestruturas relacionadas, segundo os analistas.
Além do ataque ao e-mail pessoal do diretor do FBI, a campanha teve impacto em uma grande empresa de dispositivos médicos, a Stryker, que relatou ter sofrido um incidente.
A Stryker informou que o incidente foi contido e que o acesso não autorizado foi removido de seu ambiente Microsoft interno.
Investigações indicam que os invasores usaram phishing e exploraram privilégios administrativos via Microsoft Intune para avançar no ataque.
Há evidências de que credenciais obtidas por meio de malware de roubo de credenciais podem ter facilitado o movimento dos invasores dentro das redes afetadas.
Observadores do setor ressaltam que essas operações mesclam intenção disruptiva com mensagens geopolíticas e costumam empregar ferramentas legítimas de administração para dificultar a detecção.
Como resposta, Microsoft e a CISA publicaram orientações sobre como fortalecer domínios Windows e configurações do Intune para reduzir vetores semelhantes.
O episódio também acendeu alertas sobre riscos na cadeia de suprimentos, já que compromissos em provedores de serviços podem impactar múltiplas organizações clientes.
Em desdobramentos legais, o Departamento de Justiça informou que quatro domínios vinculados ao MOIS foram apreendidos como parte de ações para desarticular operações cibernéticas.
O FBI destacou o uso de canais no Telegram como infraestrutura de comando e controle utilizada para distribuir malware nesses ataques.
Pesquisadores observam que, no contexto de conflitos regionais, táticas e colaborações entre grupos ligados ao Irã têm evoluído, ampliando o uso de infraestrutura comprometida contra alvos ocidentais.
Além do Handala, outros atores como o Nasir Security também foram identificados mirando fornecedores e contratantes do setor de energia.
O cenário de operações cibernéticas na região do Oriente Médio segue volátil, exigindo atenção contínua de organizações e provedores de tecnologia.
