Irans ministerium för underrättelsetjänst, MOIS, har sannolikt utvidgat sin etablerade hacktivistgrupp Handala till att även omfatta fysiska attacker, rekrytering av agenter och sabotageoperationer riktade mot amerikanska och israeliska intressen. Det framgår av en rapport publicerad den 2 juni 2026 av cybersäkerhetsföretaget Recorded Futures analysgrupp Insikt Group.
Sedan Iran-krigets inledning har Insikt Group observerat betydande överlapp mellan Handala Hack Teams onlineaktivitet och fyra nyligen identifierade persona-nätverk kopplade till MOIS. Samtliga fyra nätverks administratörer erbjuder ekonomisk ersättning till individer som utför fysiska angrepp och spionageuppdrag mot amerikanska och israeliska mål för Irans underrättelsetjänsts räkning.
Det nyligen identifierade nätverket kallar sig Handala Popular Resistance Front, HPRF. Den 26 april 2026 påstod HPRF sig ha utfört ett brandattentat mot ett fordon tillhörigt en israelisk säkerhetsbefattningshavare, och uppgav att “Handala-agenter” bedrev storskaliga fältoperationer inne i Israel. Om påståendena stämmer skulle det vara den första fysiska attack som öppet hävdats av en persona under Handala-varumärket.
Utöver HPRF kopplar rapporten tre ytterligare nätverk till MOIS: rekryteringsnätverket VIPEmployment, som via Telegram-bottar söker agenter världen över; övervakningsprofilen MOISIRAN, som påstår sig ha filmade israeliska underrättelse- och militärpersoner i Tel Aviv; samt det tidigare nätverket Brave Israel, som sedan december 2024 erbjudit kontantbetalning till israeler som utfört vandalism och bilbränder.
Handala uppges av det amerikanska justitiedepartementet vara en av flera hacktivistprofiler som MOIS driver, och gruppen uppges ha komprometterat FBI-direktör Kash Patels privata e-post i mars 2026. Tidigare samma månad slog Handala mot det amerikanska medicintekniska företaget Stryker Corporation i en attack som enligt uppgifter raderade data från mer än 200 000 enheter i 79 länder.
Enligt Insikt Group förstärker MOIS sammanslagning av cyber-, fysiska och påverkansoperationer under ett gemensamt varumärke risken och verkan av samtliga dessa hottyper. Handala Hack Teams kännedom om stulna personuppgifter kan sannolikt förbättra underlag för fysiska operationer genom spaning och koordinerad spridning.
Källor
Irans MOIS utvidgar Handala-varumärket till fysiska hot
Insikt Groups rapport om MOIS-kopplade persona-nätverk som rekryterar agenter för attacker mot USA och Israel; primärkällan för denna artikel.
Recorded Future / Insikt Group: https://www.recordedfuture.com/research/iran-handala-physical-threats
Sex saker att veta om Handala
Analys av Handala som MOIS-front, inklusive attacken mot FBI-direktörens e-post och angrepp mot Stryker Corporation.
Foundation for Defense of Democracies: https://www.fdd.org/analysis/2026/04/01/6-things-to-know-about-handala-tehrans-hackers-making-front-page-news/
Handala och det nya ansiktet på iranskt cyberkrig
Beskrivning av Stryker-attacken och Handalas operationella metoder efter Operation Epic Fury.
Binalyze: https://www.binalyze.com/blog/handala-and-the-new-face-of-iranian-cyber-warfare
Vad kan ett IRGC-övertagande innebära för Handala
Analys av MOIS:s kommandostruktur och effekterna av att Panjaki dödades i israeliska flyganfall mars 2026.
Shieldworkz: https://shieldworkz.com/blogs/what-could-an-irgc-takeover-mean-for-handala
Iranskt MOIS anlitar kriminella för att förstärka cyberattacker
Rapport om MOIS:s användning av kriminella aktörer som del i hybridoperationer.
Dark Reading: https://www.darkreading.com/threat-intelligence/iran-mois-criminals-cyberattacks
Hotaktörsprofil: Handala Hack Team
Samlad profil över Handalas verktyg, mål och koppling till iranska statsintressen.
Outpost24: https://outpost24.com/blog/handala-hack-threat-profile/