Il Dipartimento di Giustizia degli Stati Uniti ha formalmente accusato il governo iraniano, e in particolare il suo Ministero della Sicurezza e dell’Intelligence (MOIS), di orchestrare il gruppo hacktivista Handala. Questa accusa, emessa il 20 marzo 2026, identifica Handala come il collettivo responsabile del recente e significativo attacco informatico contro il gigante medicale statunitense Stryker, segnando una nuova fase nel dibattito sull’attribuzione digitale di cyberattacchi.
Handala: un'operazione statale mascherata da hacktivismo
Secondo le dichiarazioni del Dipartimento di Giustizia, Handala sarebbe una “persona fittizia” creata e gestita dal MOIS con l'obiettivo di condurre “operazioni psicologiche” contro i presunti nemici del regime.
Il gruppo avrebbe il compito di rivendicare attacchi informatici e di diffondere dati sottratti illecitamente. Le stesse fonti ufficiali riportano che Handala avrebbe anche incitato alla violenza contro giornalisti, dissidenti e cittadini israeliani, evidenziando la natura aggressiva e propagandistica delle sue attività.
In un'azione coordinata, l'FBI ha proceduto al sequestro di quattro domini ritenuti collegati a queste operazioni. Due di questi erano direttamente attribuiti a Handala, mentre gli altri due venivano utilizzati da un'altra entità, nota come “Justice Homeland” o “Homeland Justice”. Quest'ultima sarebbe stata impiegata per rivendicare un attacco cibernetico al governo dell’Albania nel 2022.
L'FBI ha descritto l'uso di molteplici alias come parte di un'operazione congiunta, gestita dalle medesime entità statali.
Il cyberattacco a Stryker e le sue motivazioni
L'attacco contro Stryker, rivendicato da Handala l'11 marzo 2026, è stato presentato dal gruppo come una rappresaglia per un presunto raid aereo statunitense su una scuola iraniana, che avrebbe causato la morte di numerosi bambini. L'azione informatica avrebbe avuto un impatto devastante, comportando la cancellazione remota di decine di migliaia di dispositivi appartenenti ai dipendenti dell'azienda.
Informazioni diffuse hanno evidenziato la gravità di questa operazione, rivelando che i domini gestiti da Handala erano utilizzati per la diffusione di dati sensibili riguardanti circa 190 individui, presumibilmente legati all'esercito israeliano o al governo.
L'attacco avrebbe inoltre causato disagi significativi a strutture sanitarie situate nel Maryland, sottolineando la vasta portata e le conseguenze concrete di tali azioni.
Identità multiple e operazioni ibride: l'analisi degli esperti
Esperti del settore della sicurezza informatica, come Alex Orleans di Sublime Security, hanno sottolineato una possibile complessità nella struttura operativa di questi gruppi. Secondo tali analisi, il vero nucleo operativo che esegue gli attacchi potrebbe essere distinto dal team incaricato di mantenere e gestire il “personaggio” pubblico di Handala. Questa separazione servirebbe principalmente a orchestrare la narrativa e ad aumentare l'opacità delle operazioni, rendendo più difficile l'attribuzione diretta.
L'analisi di specialisti nel campo evidenzia una tendenza crescente all'utilizzo di hacktivismo statale mascherato da criminalità digitale. Questa strategia è coerente con l'obiettivo di garantire la denegazione plausibile e di manipolare contesti ideologici per fini che possono essere sia psicologici che geopolitici, offuscando ulteriormente la vera origine e le motivazioni degli attacchi.
Implicazioni geopolitiche e sfide per la sicurezza globale
L'identificazione del MOIS da parte del Dipartimento di Giustizia come operatore di uno pseudogruppo hacktivista riflette un'evoluzione significativa nella guerra cibernetica, dove il confine tra le potenze statali e l'hacktivismo di matrice ideologica si fa sempre più labile e difficile da definire.
Questo scenario pone nuove sfide per la sicurezza internazionale.
Il caso Stryker evidenzia la crescente esposizione delle aziende occidentali, comprese quelle operanti nel cruciale settore medicale, a operazioni ibride complesse. Tali operazioni integrano la distruzione tecnica delle infrastrutture con campagne di disinformazione mirate, creando un ambiente di minaccia multifattoriale. Il quadro complessivo disegna una tendenza in cui l'hacktivismo, quando orchestrato da governi e sostenuto da infrastrutture ideologiche, si trasforma in un'arma a doppio taglio, combinando attacco informatico e guerra psicologica. Ciò impone sfide sempre maggiori per la difesa delle infrastrutture critiche e per la sicurezza digitale a livello globale.
