{"id":399,"date":"2026-03-28T18:04:47","date_gmt":"2026-03-28T18:04:47","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/28\/hackers-vinculados-a-iran-violan-el-correo-electronico-personal-del-director-del-fbi-y-atacan-a-stryker-con-un-limpiaparabrisas-cyberdefensa-mx\/"},"modified":"2026-03-28T18:04:47","modified_gmt":"2026-03-28T18:04:47","slug":"hackers-vinculados-a-iran-violan-el-correo-electronico-personal-del-director-del-fbi-y-atacan-a-stryker-con-un-limpiaparabrisas-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/28\/hackers-vinculados-a-iran-violan-el-correo-electronico-personal-del-director-del-fbi-y-atacan-a-stryker-con-un-limpiaparabrisas-cyberdefensa-mx\/","title":{"rendered":"Hackers vinculados a Ir\u00e1n violan el correo electr\u00f3nico personal del director del FBI y atacan a Stryker con un limpiaparabrisas \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los actores de amenazas con v\u00ednculos con Ir\u00e1n irrumpieron con \u00e9xito en la cuenta de correo electr\u00f3nico personal de Kash Patel, director de la Oficina Federal de Investigaciones (FBI) de Estados Unidos, y filtraron un alijo de fotograf\u00edas y otros documentos a Internet.<\/p>\n

Handala Hack Team, que llev\u00f3 a cabo la violaci\u00f3n, dijo en su sitio web que Patel \u00abahora encontrar\u00e1 su nombre entre la lista de v\u00edctimas pirateadas con \u00e9xito\u00bb. En una declaraci\u00f3n compartida con Reuters, el FBI confirmado<\/a> Los correos electr\u00f3nicos de Patel hab\u00edan sido atacados y se\u00f1alaron que se hab\u00edan tomado las medidas necesarias para \u00abmitigar los riesgos potenciales asociados con esta actividad\u00bb.<\/p>\n

La agencia tambi\u00e9n dijo que los datos publicados eran \u00abde naturaleza hist\u00f3rica y no involucran informaci\u00f3n gubernamental\u00bb. La filtraci\u00f3n incluye correos electr\u00f3nicos de 2010 y 2019 supuestamente enviados por Patel.<\/p>\n

Se considera que Handala Hack es una persona hacktivista pro-iran\u00ed y pro-palestina adoptada por el Ministerio de Inteligencia y Seguridad de Ir\u00e1n (MO\u00cdS<\/a>). La comunidad de ciberseguridad lo rastrea bajo los apodos Banished Kitten, Cobalt Mystique, Red Sandstorm y Void Manticore, y el grupo tambi\u00e9n opera otra persona llamada Homeland Justice para apuntar a entidades albanesas desde mediados de 2022.<\/p>\n

Una tercera persona vinculada al adversario afiliado a MOIS es Karma, que se dice que probablemente fue reemplazado por completo por Handala Hack desde finales de 2023.<\/p>\n

Los datos recopilados por StealthMole han revel\u00f3<\/a> que la presencia en l\u00ednea de Handala se extiende m\u00e1s all\u00e1 de las plataformas de mensajer\u00eda y foros sobre delitos cibern\u00e9ticos como BreachForums para dar a conocer sus actividades, manteniendo una infraestructura en capas que incluye dominios web superficiales, servicios alojados en Tor y plataformas externas de alojamiento de archivos como MEGA.<\/p>\n

\u00abHandala se ha dirigido constantemente a proveedores de servicios y TI en un esfuerzo por obtener credenciales, confiando en gran medida en cuentas VPN comprometidas para el acceso inicial\u00bb, Check Point dicho<\/a> en un informe publicado este mes. \u00abA lo largo de los \u00faltimos meses, identificamos cientos de intentos de inicio de sesi\u00f3n y de fuerza bruta contra la infraestructura VPN organizacional vinculada a la infraestructura asociada a Handala\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Se sabe que los ataques montados por el grupo de proxy aprovechan RDP para el movimiento lateral e inician operaciones destructivas al eliminar familias de malware de limpieza como Handala Wiper y Handala PowerShell Wiper a trav\u00e9s de scripts de inicio de sesi\u00f3n de Pol\u00edtica de grupo. Tambi\u00e9n se utilizan utilidades leg\u00edtimas de cifrado de discos como VeraCrypt para complicar los esfuerzos de recuperaci\u00f3n.<\/p>\n

\u00abA diferencia de los grupos cibercriminales motivados financieramente, la actividad asociada a Handala hist\u00f3ricamente ha enfatizado la disrupci\u00f3n, el impacto psicol\u00f3gico y las se\u00f1ales geopol\u00edticas\u00bb, Flashpoint dicho<\/a>. \u00abLas operaciones atribuidas a la persona con frecuencia se alinean con per\u00edodos de elevada tensi\u00f3n geopol\u00edtica y, a menudo, apuntan a organizaciones con valor simb\u00f3lico o estrat\u00e9gico\u00bb.<\/p>\n

El desarrollo<\/a> viene en el contexto de la Conflicto Estados Unidos-Israel-Ir\u00e1n<\/a>lo que llev\u00f3 a Ir\u00e1n a lanzar una ciberofensiva de represalia contra objetivos occidentales. En particular, Handala Hack cr\u00e9dito reclamado<\/a> por paralizar las redes del proveedor de servicios y dispositivos m\u00e9dicos Stryker al eliminar una gran cantidad de datos de la empresa y borrar miles de dispositivos de los empleados. El ataque es el primero confirmado<\/a> Operaci\u00f3n destructiva de limpieza dirigida a una empresa estadounidense Fortune 500.<\/p>\n

En una actualizaci\u00f3n publicada en su sitio web esta semana, Stryker dicho<\/a> \u00abEl incidente est\u00e1 contenido\u00bb, y agreg\u00f3 que \u00abreaccion\u00f3 r\u00e1pidamente no s\u00f3lo para recuperar el acceso sino tambi\u00e9n para eliminar a la parte no autorizada de nuestro entorno\u00bb desmantelando los mecanismos de persistencia instalados. El incumplimiento, afirm\u00f3, fue confinado<\/a> a su entorno interno de Microsoft.<\/p>\n

Se ha descubierto que los actores de amenazas utilizan un archivo malicioso para ejecutar comandos que les permitieron ocultar sus acciones. Sin embargo, el archivo no posee ninguna capacidad para propagarse a trav\u00e9s de la red, se\u00f1al\u00f3 Stryker.<\/p>\n

Unidad 42 de Palo Alto Networks dicho<\/a> El vector principal de las recientes operaciones destructivas de Handala Hack probablemente implica la \u00abexplotaci\u00f3n de la identidad mediante phishing y acceso administrativo\u00bb. a trav\u00e9s de Microsoft Intune<\/a>.\u00bb Hudson Rock tiene encontr\u00f3<\/a> evidencia de que las credenciales comprometidas asociadas con la infraestructura de Microsoft obtenidas a trav\u00e9s de malware de robo de informaci\u00f3n pueden haberse utilizado para llevar a cabo el ataque.<\/p>\n

A ra\u00edz de la infracci\u00f3n, ambos microsoft<\/a> y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA<\/a>) han publicado una gu\u00eda sobre c\u00f3mo fortalecer los dominios de Windows y fortalecer Intune para defenderse contra ataques similares. Esto incluye utilizar el principio de privilegio m\u00ednimo, aplicar la autenticaci\u00f3n multifactor (MFA) resistente al phishing y habilitar la aprobaci\u00f3n de m\u00faltiples administradores<\/a> en Intune para cambios sensibles.<\/p>\n

Flashpoint ha caracterizado el ataque a Stryker como un cambio peligroso en las amenazas a la cadena de suministro, ya que la actividad cibern\u00e9tica vinculada al estado dirigida a proveedores cr\u00edticos y de log\u00edstica puede tener impactos en cascada en todo el ecosistema de atenci\u00f3n m\u00e9dica. <\/p>\n

La filtraci\u00f3n de Handala Hack de los correos electr\u00f3nicos personales de Patel se produce en respuesta a una operaci\u00f3n autorizada por el tribunal que condujo a la incautaci\u00f3n de cuatro dominios operados por MOIS desde 2022 como parte de un esfuerzo por interrumpir sus actividades maliciosas en el ciberespacio. El gobierno de Estados Unidos tambi\u00e9n ofreciendo una recompensa de 10 millones de d\u00f3lares<\/a> para obtener informaci\u00f3n sobre los miembros del grupo. Los nombres de los dominios incautados se enumeran a continuaci\u00f3n:<\/p>\n