Проверьте свои админки: Иранские вайперы превращают тысячи устройств в бесполезное железо

Иранская киберкампания, которую в разные годы связывали с названиями Homeland Justice, KarmaBelow80 и Handala, похоже, оказалась не набором разрозненных групп, а единой системой под разными вывесками. К такому выводу пришли специалисты, сопоставив данные американских ведомств, материалы частных компаний, сведения о доменах и многолетний архив публикаций в сети и Telegram.

По их оценке, за всеми тремя названиями, с высокой вероятностью, стоит экосистема, связанная с Министерством разведки и безопасности Ирана. Речь идёт не о нескольких самостоятельных «хактивистах», а о скоординированной структуре, где разные бренды выполняют разные задачи. Один нужен для атак и вывода систем из строя, другой – для публикации украденных данных и давления на жертв, третий – для политически окрашенной подачи и информационного эффекта.

Авторы анализа считают, что цепочка прослеживается довольно чётко. Сначала в 2022 году появилась Homeland Justice, которая участвовала в атаках на государственные структуры Албании. Затем в конце 2023 года активность против израильских целей начали вести под именем Karma. С 2024 года заметную роль получила Handala. При смене названий общий почерк, инфраструктура, способы продвижения в Telegram и логика выбора целей оставались очень похожими.

В материале говорится, что кампания постепенно выросла из разрушительных атак в более широкую систему влияния. На раннем этапе злоумышленники получали доступ к сетям, похищали данные, шифровали или стирали информацию, а затем публично брали на себя ответственность. Позже операторы начали следить за жертвами, удерживать постоянный доступ к системам, точечно наблюдать за конкретными людьми и давить на них, публикуя личные данные. В итоге кибератаки, наблюдение и информационные операции слились в единую схему.

Ключевым связующим звеном авторы считают, что в операциях предположительно участвовал Сейед Яхья Хоссейни Панжаки, которого связывают с иранским Министерством разведки и безопасности. В анализе подчёркивается, что важна не только личность фигуранта, но и возможный уровень управления. Такой след указывает не на хаотичную деятельность подрядчиков, а на кампанию с задачами, контролем и увязкой с государственными интересами.

Как началась атака на Албанию

Первой крупной публичной демонстрацией возможностей этой структуры стали атаки на Албанию. По приведённым данным, злоумышленники проникли в сеть через уязвимость в Microsoft SharePoint примерно за 14 месяцев до публичной фазы операции. Затем закрепились в инфраструктуре, установили веб-оболочки, изучили внутреннюю сеть, собрали учётные данные, перемещались между системами через стандартные административные протоколы и получили доступ к почтовым серверам Microsoft Exchange. Лишь после долгой подготовки злоумышленники начали красть большие массивы данных и совершать разрушительные действия.

На финальной стадии атаки злоумышленники шифровали и стирали данные, а операцию публично сопровождали через сайты и каналы в Telegram. Homeland Justice не просто взяла ответственность на себя, а превратила технический инцидент в политическое шоу с обвинениями, заявлениями и выборочной публикацией материалов. Такой подход, как считают авторы, стал базовой моделью всей дальнейшей кампании.

В 2023 году операторы снова активизировались против албанских целей. На этом этапе появился No-Justice Wiper, вредоносный инструмент, способный быстро и необратимо выводить системы из строя. Специалисты обратили внимание на то, что операторы применяли подписанные файлы и сценарии PowerShell, что говорит о попытках обходить защиту и опираться на штатные средства Windows.

После обострения конфликта между Израилем и ХАМАС осенью 2023 года кампания расширила географию и начала действовать под именем Karma. Несмотря на смену вывески, методы почти не изменились. В атаках против израильских организаций использовали собственные инструменты, веб-оболочки, средства проверки учётных данных, обратные SSH-туннели и механизмы разрушения, включая BiBi Wiper. По оценке авторов, внутри этой структуры уже просматривалось разделение ролей между теми, кто занимается проникновением, и теми, кто отвечает за уничтожение данных и шумный финал.

Этап Handala и сменная инфраструктура

С 2024 года центральной публичной фигурой всё чаще становится Handala. Анализ доменов handala-hack[.]ps, handala-hack[.]tw и других адресов показывает, что инфраструктура у этой кампании изначально расходная. Домены быстро появляются, используются, исчезают и заменяются новыми, но узнаваемое имя сохраняется. Такой подход помогает переживать блокировки и изъятия, не теряя аудиторию и эффект узнавания.

Авторы отдельно отмечают, что сайты Handala обычно просты по устройству и нередко работают на WordPress. Главная роль таких площадок – не в том, чтобы размещать вредоносные программы, а в публикации заявлений, сливов и угроз. Настоящая техническая работа идёт в другом слое, внутри взломанных сетей, а домены служат витриной и точкой привязки для публикаций, которые затем разносятся через Telegram и социальные сети.

Что публикуют после взломов

Содержимое утечек делится на несколько типов. Чаще всего публикуют электронную переписку, чтобы показать глубину доступа. Второй блок составляют персональные данные, номера телефонов и списки контактов, которые используют для запугивания и давления. Третий блок связан с заявлениями о доступе к критически важной инфраструктуре, например к системам водоснабжения или электросетям. Даже когда такие утверждения трудно проверить, сами публикации работают как инструмент психологического давления.

На практике последствия операций Handala, по оценке авторов, чаще всего лежат не в технической, а в психологической и репутационной плоскости. Среди немногих случаев, где ущерб выглядел действительно масштабным, в анализе упоминается инцидент со Stryker Corporation. По имеющимся данным, атака нарушила работу компании: она перестала обрабатывать заказы, производить и отгружать продукцию, а на восстановление ушло несколько дней. Также сообщалось об удалённом стирании десятков тысяч устройств. Именно этот эпизод, как считают авторы, вышел далеко за рамки обычной утечки и привлёк внимание правоохранительных органов.

Другой пример связан с тем, что злоумышленники опубликовали личную переписку, изображения и документы, приписываемые Kash Patel. В этом случае главной целью, по оценке специалистов, был не столько технический ущерб, сколько публичное унижение, давление и создание возможных контрразведывательных рисков. Часть других эпизодов остаётся спорной. Некоторые атаки получили широкую огласку, но независимого подтверждения полного масштаба последствий по ним так и не появилось.

Слежка и Telegram как часть схемы

Отдельное направление кампании связано со слежкой. С конца 2023 года операторы всё активнее применяют поддельные приложения, замаскированные под мессенджеры, менеджеры паролей и другие полезные программы. После запуска такие файлы устанавливают вредоносные модули, чтобы постоянно наблюдать за жертвами. По данным авторов, вредоносные программы умеют делать снимки экрана, перехватывать звук, собирать файлы и похищать учётные данные.

Особое место в этой схеме занимает Telegram. Платформа служит сразу двум целям. С одной стороны, через Telegram Bot API вредоносные программы получают команды и отправляют украденные данные, маскируя вредоносный трафик под обычное общение в мессенджере. С другой стороны, те же каналы используются для пропаганды, публикации заявлений и продвижения утечек. Такой двойной формат связывает скрытую техническую часть операции с её публичной, медийной частью.

Авторы описывают развитие инструментария по этапам. Сначала операторы делали ставку на длительное скрытое присутствие, а затем одновременно шифровали и стирали данные. Затем появились более быстрые и жёсткие средства уничтожения. На этапе Karma к вредоносным программам добавили ручную работу в системе и начали активнее применять штатные инструменты. Под брендом Handala схема стала ещё гибче. Злоумышленники начали сочетать собственные «вайперы», сценарии PowerShell, законные средства шифрования вроде VeraCrypt и корпоративные инструменты для разведки внутри сети.

Самым тревожным признаком нового этапа авторы считают атаку на систему управления устройствами Microsoft Intune в случае со Stryker. По этой версии, злоумышленники получили доступ не просто к отдельным компьютерам, а к облачной панели администрирования, через которую компания управляет большим числом устройств. Такой доступ позволяет отдавать команды сразу тысячам компьютеров и телефонов, обходясь без классического вредоносного файла на каждом из них. Если оценка верна, кампания вышла на новый уровень, где цель смещается с отдельных рабочих станций на центральные узлы управления всей корпоративной средой.

Специалисты указывают и на новую активность в доменной инфраструктуре. С 19 по 23 марта 2026 года, по их данным, операторы зарегистрировали как минимум восемь новых доменов, связанных сразу с тремя брендами: Handala, KarmaBelow80 и Homeland Justice. Среди них названы handala-hack[.]pro, handala-hack[.]shop, handala-hack[.]tw, handala-redwanted[.]cc, handala-redwant[.]to, karmabelow80[.]biz, karmabelow80[.]st и Homeland Justice[.]info. Такая плотная серия регистраций, по мнению авторов, похожа не на обычную текучку, а на подготовку к новым операциям или восстановление инфраструктуры после сбоев и блокировок.

Главный вывод анализа звучит так: Homeland Justice, KarmaBelow80 и Handala лучше рассматривать как разные маски одной и той же структуры. Разница между названиями связана не с разными организациями, а с разными ролями внутри общей кампании. Один и тот же аппарат может вести разведку, стирать данные, публиковать утечки и запускать информационное давление, меняя вывеску в зависимости от аудитории и задачи.

Если выводы авторов верны, речь идёт уже не о серии отдельных атак, а о постоянно действующем государственном механизме. Такой механизм умеет быстро восстанавливать инфраструктуру, менять названия, переносить активность между странами и совмещать взломы с психологическим давлением. Главная сила кампании, по всей видимости, заключается не только во вредоносных программах, но и в умении превращать каждый успешный или даже частично подтверждённый взлом в громкую историю, которая работает на запугивание, репутационный удар и политический эффект.