2026年1月11日,【暗网威胁情报监测系统发现】亲伊朗的黑客活动组织 Handala(也称为 Handala Hack Team 或 Handala Red)声称入侵并泄露了他们描述为以色列摩萨德伊朗部门的数据。该泄露包括一份 159 页的 PDF 文档,标题为“Naem Spy System”,归属于 Mehrdad Rahimi,据称他是摩萨德高级官员,负责指导伊朗特工。该文档似乎是一个全面的联系人列表,包含超过 1,000 个电话号码,按神秘代码分类(例如“Rb”、“D”、“M”、“I”),主要集中在以色列、美国、伊朗、德国等国家。
Handala 将此次行动描述为反情报行动,声称 Rahimi 和该网络涉及在伊朗制造混乱、恐怖主义和间谍活动。该文档的分析显示了与秘密行动网络一致的模式,包括与知名以色列政治人物(例如 Avi Dichter)的联系以及潜在的伊朗合作者。
Handala 黑客组织
Handala 是一个与伊朗结盟的黑客活动集体,于 2024 年显著出现,专注于针对以色列目标的行动,以支持巴勒斯坦事业和伊朗利益。该组织以“Handala”命名,这是一个象征巴勒斯坦难民的卡通人物,并在声明中经常使用亲巴勒斯坦修辞。根据开源情报:
-
Handala 与破坏性活动相关,包括部署擦除恶意软件(例如 Trellix 和 Splunk 在 2024-2025 年分析的)、勒索软件式数据泄露,以及入侵 Telegram 等通信平台。 -
著名活动包括黑客入侵以色列官员设备(例如 2025 年 12 月本雅明·内塔尼亚胡的助手)、入侵 Appletec 等公司,以及曝光记者和政治人物。 -
该组织采用“黑客并泄露”策略,通过社交媒体(例如 X、Telegram)放大窃取数据,以最大化心理和声誉影响。他们声称入侵以色列部委、科技公司和个人,通常未经独立验证,但有真实数据转储的证据。 -
归属:网络安全公司如 KELA、Intezer 和政府报告(例如加拿大的快速响应机制)将 Handala 与伊朗国家赞助或结盟相关联,类似于 APT42(Charming Kitten)。他们的行动在中以冲突中激增,包括 2025 年后的空袭。
在本案中,Handala 描述了他们对 Rahimi 的数月监控,将他描绘成摩萨德特工,负责在伊朗组织特工网络。他们声称泄露暴露了 600 多名与以色列情报合作的特工,包括监视和影响行动的细节。
泄露文档分析
“Naem Spy System” PDF 是一个 159 页的联系人目录,结构为带有“name”(通常为缩写代码)和“number”列的表格。文档的标题和作者表明它可能是用于管理间谍联系人的专有系统。
内容概述
-
总条目:约 1,200-1,500 个电话号码,跨越 159 页(基于样本页面密度估计)。 -
格式:条目以简单表格列出,名称为单字母代码,后跟可选描述符(例如“Rb”、“D”、“M”、“I”、“C”、“K”、“A”、“W”)。有些包括全名,如“Avi Dichter K”(以色列议员和前 Shin Bet 负责人)、“Behzad Farhoumand F”、“Sam Hakim NY”和“Cohen Meir L5”。 -
语言:混合英语、希伯来语、波斯语和阿拉伯语脚本,表明多语言操作。 -
显著部分: -
第 1-7 页(提供的样本):重点关注“Rb”(可能为 Rubika,伊朗消息应用)、“D”(美国纽约/洛杉矶地区的号码)、“I”(伊朗号码)、“M”(杂项,通常为美国或以色列)、“C”(哥伦比亚、委内瑞拉、印度)、“K”(德国)、“A”(各种国际)。 -
后续页面(从截图):继续类似代码,包括“Ns”(可能为网络或节点)、“V”(各种)、“Z”(荷兰、土耳其、印度),以及商业式条目(例如“משלוח צ’יטה”——希伯来语“Cheetah Delivery”)。
-
地理分布
使用国家代码分析:
-
**+972 (以色列)**:约 40% 的条目(例如众多“Rb”和“D”联系人)。表明强大的以色列行动基地。 -
**+1 (美国/加拿大)**:约 30%(集中在纽约:516/917/646;洛杉矶:310/818/424)。这些地区有大量伊朗犹太人侨民社区。 -
**+98 (伊朗)**:约 15%(例如“I”代码)。表明伊朗内部潜在资产或目标。 -
**+49 (德国)**:约 10%(例如“K”代码,包括“K2”子组)。 -
其他:+44 (英国)、+90 (土耳其)、+31 (荷兰)、+33 (法国)、+91 (印度)、+57 (哥伦比亚)、+58 (委内瑞拉)、+61 (澳大利亚)等。这些表明全球网络用于招募、后勤或撤离。
| 国家代码 | 近似数量 | 常见代码 | 备注 |
|---|---|---|---|
| +972 (以色列) | 500+ | Rb, D, M, W | 高密度;链接到以色列电信(例如 Golan Telecom)。 |
| +1 (美国) | 400+ | D, M, Ns, Y | 侨民中心;名称如“Sam Hakim NY”暗示伊朗犹太人联系。 |
| +98 (伊朗) | 200+ | I, A | 潜在内部人士;妥协风险。 |
| +49 (德国) | 150+ | K, K2 | 欧洲行动;列出“Behzad Farhoumand F”。 |
| 其他 | 100+ | C, Z, V | 拉丁美洲、欧洲、亚洲;可能为安全屋或代理。 |
网络含义
-
代码解释: -
“Rb”:可能为 Rubika 用户或招募者(伊朗流行安全通信应用)。 -
“D”:侨民联系人,通常基于美国。 -
“M”:管理或中级特工。 -
“I”:伊朗国民或渗透者。 -
“K/K2”:德国/欧洲的关键资产,可能用于资金或技术转移。 -
“A”:跨地区的关联或别名。 -
“W”:监视列表或证人。
-
-
命名个人: -
Avi Dichter:前以色列情报负责人;直接链接到摩萨德/Shin Bet。 -
Behzad Farhoumand:可能为伊朗侨民;德国号码表明欧洲角色。 -
Sam Hakim:基于美国,多个纽约号码;潜在资助者或处理者。 -
R Hakhamzadeh:基于洛杉矶;伊朗姓氏,多个联系人。 -
其他:“Cohen Meir”、“Yadegar David”——犹太伊朗姓名,适合侨民招募。
-
-
间谍系统上下文:标题“Naem Spy System”可能指代理管理自定义 CRM 或数据库。Handala 声称 Rahimi 使用它在伊朗组织“混乱和恐怖”,包括特工指导和行动。网络来源证实 Rahimi 为摩萨德伊朗部门官员,受伊朗持续监视。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容