Gli hacker iraniani di Handala hanno violato la casella di posta personale del direttore dell’Fbi Kash Patel, pubblicando online fotografie private e un campione di oltre 300 email
Gli hacker iraniani di Handala hanno violato la casella di posta personale del direttore dell’Fbi Kash Patel, pubblicando online fotografie private e un campione di oltre 300 email. Lo ha confermato venerdì l’Fbi stesso, attraverso il portavoce Ben Williamson, precisando di aver «adottato tutte le misure necessarie per mitigare i potenziali rischi» e che i dati coinvolti erano «di natura storica e non contenevano informazioni governative».
Sul proprio sito, il gruppo Handala Hack Team ha scritto che Patel «troverà ora il suo nome nell’elenco delle vittime hackerate con successo», allegando fotografie che lo ritraggono mentre annusa e fuma sigari, guida una decappottabile d’epoca e si scatta un selfie allo specchio con una bottiglia di rum.
L’Fbi ha offerto 10 milioni di dollari a chi fornirà informazioni in grado di portare all’identificazione dei membri di Handala, gruppo che «ha preso frequentemente di mira i funzionari americani», ha spiegato l’agenzia senza fare alcun riferimento a quando l’incidente si è verificato.
Secondo gli esperti di cybersicurezza, il sito che ha postato le immagini di Patel era ospitato da un server in Russia tramite un dominio registrato il 19 marzo da un’entità che si identificava come il «Regno di Tonga». Sul sito Handala sono state pubblicate foto e almeno 300 messaggi rubati dall’account Gmail di Patel, alcuni risalenti al 2010, altri al febbraio 2022. Il contenuto è variegato: si va dalla ricerca di un appartamento alla prenotazione di viaggi. La maggior parte del materiale sottratto dagli hacker è comunque relativo al periodo 2010-2015, quando Patel fece domanda per entrare alla divisione per la sicurezza nazionale del Dipartimento di Giustizia e si trasferì a Washington. Le email includono i documenti relativi alla sua domanda di lavoro ma anche messaggi di amici disponibili a presentargli persone nella nuova città. Una delle email rubate include una foto di quella che appare essere una visita a Cuba nel 2013. Le email pubblicate sembrano mescolare corrispondenza personale e lavorativa di Patel, risalente al periodo tra il 2010 e il 2019.
L’indirizzo Gmail preso di mira corrisponde a quello associato a Patel in precedenti violazioni di dati, conservate dalla società di intelligence del dark web District 4 Labs. È probabile che non tutto il materiale rubato sia stato reso pubblico.
L’operazione rientra in una strategia più ampia. Gil Messing, capo dello staff della società israeliana di sicurezza informatica Check Point, ha definito l’attacco parte di un disegno iraniano per mettere in imbarazzo i funzionari statunitensi e «farli sentire vulnerabili». Gli iraniani, ha aggiunto, «stanno sparando con tutto ciò che hanno».
Non si tratta di un caso isolato né di una tecnica nuova. Nel 2016 hacker riconducibili alla Russia violarono l’account Gmail di John Podesta, responsabile della campagna di Hillary Clinton, riversando il materiale su WikiLeaks in un caso che ebbe una certa rilevanza nella sfida elettorale per la Casa Bianca con Donald Trump. Ancora prima, nel 2015, alcuni hacker adolescenti bucarono l’account Aol personale dell’allora direttore della Cia John Brennan, diffondendo dati su funzionari dell’intelligence.
Violazioni di questo tipo — tecnicamente poco sofisticate, ma ad alto impatto mediatico — sono coerenti con una valutazione dell’intelligence statunitense secondo cui l’Iran e i suoi alleati potrebbero rispondere agli attacchi di Usa e Israele con attacchi informatici di basso livello contro le reti digitali americane.
Chi è Handala
Handala si presenta come un collettivo di hacker vigilantes pro-Palestina, ma i ricercatori occidentali lo considerano una delle diverse identità sotto cui operano le unità di cyberintelligence del governo iraniano, riconducibili in particolare al Ministero dell’Intelligence e della Sicurezza (Mois) e al Corpo delle Guardie della Rivoluzione Islamica (Irgc). Il gruppo è attivo almeno dal 2022, quando colpì il governo dell’Albania, e nelle ultime settimane ha moltiplicato le operazioni e rivendicazioni.
L’11 marzo ha colpito Stryker, azienda americana di tecnologie medicali, con un ransomware che avrebbe bloccato circa 80 mila dispositivi aziendali e personali. La rivendicazione parlava esplicitamente di «rappresaglia contro il brutale attacco alla scuola di Minab». Stryker ha dichiarato che l’incidente è «sotto controllo» e che non vi sono prove di accesso a sistemi di clienti o partner.
Giovedì, Handala ha rivendicato anche la pubblicazione dei dati personali di decine di dipendenti di Lockheed Martin in servizio in Medio Oriente; la società ha confermato di essere a conoscenza delle segnalazioni.
Il Dipartimento di Giustizia americano ha oscurato di recente una serie di siti web legati al gruppo, uno dei quali era stato usato — si legge nella nota ufficiale — nell’ambito di «un più ampio tentativo di intimidire e molestare dissidenti e giornalisti iraniani residenti negli Stati Uniti e all’estero». Un altro pubblicava minacce dirette a funzionari del governo americano: «Sarete giustiziati presto e abbiamo offerto una ricompensa di 250mila dollari agli agenti che vi uccideranno e vi decapiteranno».
Le tecniche usate
Il metodo operativo di Handala (che abbiamo spiegato in dettagli in questo articolo) rispecchia quello classico dell’ingegneria sociale: gli obiettivi — giornalisti, dissidenti, attivisti, funzionari — vengono contattati via email con messaggi costruiti su misura, calibrati sulle abitudini e sulle informazioni disponibili di ciascuna vittima. Chi abbocca viene indotto a condividere codici di accesso e credenziali; il malware viene mascherato da applicazioni comuni per sistemi Windows. Una volta compromesso il dispositivo, un bot Telegram stabilisce il collegamento remoto con gli attaccanti ed esfiltra file, screenshot e, in alcuni casi, registrazioni audio e video di sessioni Zoom.
Per non perdere le ultime novità su tecnologia e innovazione
iscriviti alla newsletter di Login
28 marzo 2026 ( modifica il 28 marzo 2026 | 19:15)
© RIPRODUZIONE RISERVATA