イランハッカー 対イスラエル報復作戦
― イスラエル諜報機関「Mossad(モサド)」関係者機密漏洩と現場への提言
Iranian Hackers: Cyber Retaliation Against Israel
― Mossad Intelligence Leaks: Recommendations for the Field
2026年3月21日
発行元: 一般財団法人 日本危機管理研究所
*英訳版は日本語版の後に掲載しています。/ The English translation follows the Japanese text below.
| キーワード エピックフューリー作戦 / Operation Epic Fury / 米イラン戦争 / US-Iran War / ハンダラ / Handala / モサド / Mossad / ハイブリッド戦争 / Hybrid Warfare / サイバー報復 / Cyber Retaliation / ハック&リーク / Hack & Leak / FBIドメイン差し押さえ / FBI Domain Seizure / 情報心理戦 / PSYOP |
| 本レポートの視点 本稿は、2026年3月中旬にイラン系ハッカーグループHandala(ハンダラ:イラン政府情報保安省の支援を受けた国家連携型サイバー攻撃集団)が行ったモサド(Mossad:イスラエル対外情報機関)元幹部への機密サイバー情報窃取工作を、単独のサイバー事件としてではなく、2026年2月28日に始まった米・イスラエル・イランの全面軍事衝突に連動したハイブリッド戦争(Hybrid Warfare)の一局面として分析する。 本件の核心は「データの真正性」よりも「なぜ今この攻撃が行われたか」にある。Mossadは「無敵」のイメージを抑止力として活用してきた機関であり、その元幹部のメールが侵害されたと主張することは、単なるデータ窃取を超えた心理的ダメージを与える情報心理戦(PSYOP: Psychological Operations)的攻撃である。サイバー攻撃は「到達可能で否認可能な報復手段」として戦略的中核を占めている。現代のサイバー攻撃は物理的インフラの破壊にとどまらず、標的組織・社会の動揺・不信・意思決定の麻痺を引き起こす心理的兵器としての性格を併せ持つ。 なお、現在イスラエルはこの件に関し公式発言していない。しかし沈黙は否定を意味しない。情報機関が侵害を認めないことは世界的な慣例であり、沈黙そのものを根拠に真偽を判断することはできない。 本稿は以上の分析を踏まえ、最終章において政府・安全保障機関・民間企業・サイバーセキュリティ担当者それぞれに向けた実務上の示唆と提言を行う。 |
1. エグゼクティブサマリー/Executive Summary
• 【開戦】2026年2月28日、米・イスラエルがOperation Epic Fury/Operation Roaring Lionを発動。ハメネイ師を含む40名超のイラン高官を暗殺する大規模軍事攻撃を実施した。
• 【サイバー報復開始】イランはその数時間後から多層的なサイバー報復キャンペーンを開始。Handala(イラン情報保安省傘下の国家支援型ハッカーグループ。詳細は第5章)・313 Team・Keymousなど60以上のグループがイスラエル・米国インフラへの攻撃を開始し、現在も継続中である。
• 【本事件の位置づけ】モサド(Mossad)元幹部Deborah Oppenheimer氏ら情報機関関係者のメールアカウントから10万件超の機密メールを窃取・公開したとするHandalaの主張は、戦時下サイバー報復キャンペーンの一環である。単独のハッキングではなく、軍事作戦と連動した情報心理戦(PSYOP: Psychological Operations)的攻撃として理解すべきである。攻撃の目的はデータそのものではなく、情報の真偽が確定しない状態での混乱と動揺の拡散にある。
• 【確認済み最大被害】2026年3月11日、米医療機器大手Strykerへのワイパー攻撃をHandalaが実行。Stryker社はSEC 8-K報告書で公式確認しており、株価は9%超下落した。
• 【FBIの対応】2026年3月19日、FBIはHandalaの主要ドメイン2件を差し押さえた。ただしこれは配信チャネルの遮断にとどまり、攻撃インフラ・能力の排除には至っていない。
• 【信頼性】Mossad(モサド)メール主張の完全な真正性は未確定だが、グループの実績・技術能力・サンプル提示の事実から、完全な偽情報である蓋然性は低い。イスラエルの沈黙は否定を意味しない。
・【現場への提言】 本稿は事実分析にとどまらず、最終章(第8章)において政府・安全保障機関・民間企業・サイバーセキュリティ担当者それぞれに向けた実務上の示唆と提言を行う。
2. 事件の詳細
2-1. Handalaの主張
| 主張日 | 2026年3月中旬 |
| 標的① | Deborah Oppenheimer — Mossad(モサド)元外部関係・協力副部長、現イスラエル国家安全保障機構国際問題部長 |
| 標的② | Sima Shine — Mossad(モサド)元研究部長(10万件超のメールを公開と主張) |
| 標的③ | Laura Gilinski — Mossad(モサド)元計画・戦略副部長 |
| 標的④ | Tamir Hayman少将 — 軍事情報部元部長 |
| 主張内容 | 各人のメールアカウントへの侵入に成功、10万件超の機密メールを窃取・公開 |
| 文書内容(サンプル) | イラン核開発状況・中東米国サミット・シリア電力省・米情報機関からの警告(2018〜2024年) |
2-2. 戦略的意味
本件が通常のハッキングと異なる点は、軍事作戦と連動した情報心理戦(PSYOP: Psychological Operations)的性格にある。Mossadは「無敵」のイメージを抑止力として活用してきた機関であり、同機関の元幹部の個人メールが侵害されたと主張することは、単なるデータ窃取を超えた心理的ダメージを与えることを目的としている。
タイミングも重要である。Operation Epic Fury開始から約3週間のこの時期は、イランが国内インフラの被害を受けながらも対外的に「抵抗の継続」を示す必要があった局面に一致する。同じ時期にクドス・デー(3月14日)に合わせたヘブライ大学攻撃主張と並行して行われていることも、作戦的調整の存在を示唆する。
3. なぜサイバー攻撃が激化しているのか
3-1. 軍事作戦の概要
2026年2月28日、米国とイスラエルはそれぞれ独立した作戦名のもと、イランへの大規模共同軍事攻撃を実施した。
米国:作戦名 Operation Epic Fury
| 開戦日 | 2026年2月28日 |
| 主要目標 | イラン核・ミサイルインフラ、IRGC指揮系統 |
| 主要成果 | ハメネイ師・IRGC司令官パクプール・国防大臣・国家安全保障書記ら40名超を排除 |
| 付随サイバー | イラン国内インフラへのサイバー攻撃により60時間超の国内インターネット遮断(接続率1〜4%に低下) |
イスラエル:作戦名 Operation Roaring Lion
| 開戦日 | 2026年2月28日(米国と同日) |
| 主要目標 | テヘラン市内の革命防衛隊拠点、情報機関施設 |
| 情報収集手段 | テヘランの監視カメラほぼ全台を事前掌握、AI解析で標的を特定 |
| 特記事項 | ハメネイ師の行動把握にAI+監視カメラ映像を組み合わせた高度な情報作戦を実施 |
3-2. イランがサイバーに頼る理由
Foreign Policyの分析によれば、イランは米国・イスラエルに対して対称的な通常兵器による応戦手段を持たないため、歴史的にサイバー作戦と非対称報復に依存してきた。通常兵器能力が破壊されるほどサイバー攻撃へのエスカレーション圧力は高まるという構造的脆弱性が指摘されている。
Unit 42は「イランのインターネットが遮断された状態でも、国家支援型APTグループは事前に海外展開済みのインフラを通じて作戦継続が可能」と評価している。Handalaは国内遮断中もStarlinkのIPレンジから活動を継続したことが確認されている。
3-3. 戦前から準備されていたサイバー作戦
Augur Securityの調査によれば、主要イランAPTグループはOperation Epic Fury開始の6ヶ月前から顕著なインフラ構築活動を行っていた。これは事後報復ではなく、開戦と同時に使用可能な状態に置かれた「事前配備型」攻撃であることを示す。MuddyWaterは開戦数週間前、すでにイスラエル関連の防衛・金融標的に侵入済みであったことが確認されている。
4. 開戦以降のサイバー攻撃タイムライン
| 日付 | 事案 | 詳細 |
| 2月28日 | 開戦当日 | Electronic Operations Room発足。Handala・313 Team・Keymousがイスラエルへの攻撃を即時開始。#OpIsraelキャンペーン始動。 |
| 3月2日 | Panjaki死亡 | MOIS副長官でHandala指揮官とされるSeyed Yahya Hosseini Panjakiが米イスラエル攻撃により死亡(Check Point確認)。Handalaは作戦を継続。 |
| 3月2日〜 | ロシアが参戦 | 親ロシア系NoName057(16)がイランサイバー連合に加入。イスラエル防衛請負企業Elbit Systemsなどを標的に。 |
| 3月6日 | MuddyWater始動 | IRGC系MuddyWaterが事前配備のバックドアを使用開始。通信・石油ガス・政府機関を標的。 |
| 3月11〜12日 | Stryker攻撃(確認済) | HandalaがMicrosoft Intune経由で米Strykerに侵入。同社がSEC 8-Kで公式確認。株価9%超下落。 |
| 3月中旬 | Mossad(モサド)攻撃主張 | HandalaがMossad(モサド)元幹部複数名の機密メール窃取を主張(本レポートの主題)。 |
| 3月14日 | クドス・デー | ラマダン最終金曜に合わせHandalaがヘブライ大学への攻撃を主張(40TB消去と主張、未検証)。 |
| 3月19日 | FBI差し押さえ | 米FBI・DoJがHandalaの主要ドメイン2件(handala-hack[.]to等)を令状に基づき差し押さえ。 |
The Registerの報告によれば、開戦以降サイバー犯罪活動は245%急増。現在60以上のハクティビストグループが活動中であり、親ロシア系グループの参入により攻撃対象は欧州にも拡大している。
5. 攻撃者の特徴:Handala (別名 Void Manticore)
| 正体 | イラン情報保安省(MOIS: Ministry of Intelligence and Security)傘下の国家支援型サイバー作戦部隊の公開向けペルソナ |
| 別名 | Void Manticore / Storm-0842 / BANISHED KITTEN / Red Sandstorm / Dune |
| 活動開始 | 公開ペルソナとしては2023年末。前身クラスターは2008年頃まで遡る可能性 |
| 元指揮官 | Seyed Yahya Hosseini Panjaki(米財務省・EU・英国が制裁指定。2026年3月2日に死亡確認) |
| 攻撃手法 | フィッシング・VPN総当たり・Microsoft Intune悪用・カスタムワイパー・ハック&リーク |
| 目的 | 金銭を目的とせず、破壊・情報窃取・PSYOPが主目的 |
| 継続性 | 国内インターネット遮断中もStarlinkのIPレンジから作戦継続(Unit 42確認) |
6. FBIによるドメイン差し押さえ(2026年3月19日)
米司法省は連邦地方裁判所(メリーランド州)の令状に基づき、Handalaの主要2ドメインを差し押さえた。
7. 分析と今後の見通し
なぜイスラエルは沈黙するのか
• 脆弱性の連鎖露呈:侵入経路を公認することは、他のセキュリティ上の欠陥を示唆する
• 抑止イメージの維持:Mossad(モサド)の「無敵」イメージ毀損を認めることは心理的打撃になる
• 被害範囲の未把握:何を取得されたか完全には特定できていない場合がある
• 対諜報・捜査への影響:敵側に「作戦成功」を認知させることになる
イスラエルがサイバー被害を公式に認めたケースはほぼなく、今回の沈黙は標準的対応である。
結論 ー実務への提言
イランハッカーHandalaによるMossad(モサド)関係者メール窃取主張は、孤立したハッキング事件ではない。2026年2月28日に始まった米・イスラエル・イラン間の全面的軍事衝突において、イランが展開するハイブリッド戦争(Hybrid Warfare)のサイバー次元における組織的作戦の一環である。
イランにとって、サイバー攻撃は「到達可能で否認可能な報復手段」として戦略的中核を占めている。通常兵器が破壊されるほど、サイバー攻撃に頼る傾向が強まる。
Mossad(モサド)に対する攻撃主張はその文脈において、軍事的報復と情報心理戦を同時に達成しようとする複合作戦として理解されるべきである。
尚、本分析から得られる実務上の示唆は以下の通りである。
| 対象 | 推奨アクション |
| 政府・安全保障機関 | 現役・退職を問わず情報機関関係者の個人メールアカウントのセキュリティ審査を強化。多要素認証の徹底と定期的な侵害確認を実施。 |
| 防衛・重要インフラ企業 | Microsoft IntuneなどのMDM環境の設定を見直し、横断的なデバイス管理権限の悪用リスクを評価する。Stryker事案のSEC 8-K開示は開示義務の前例となった。 |
| メディア・研究機関 | Handala等の主張は検証なしに報道しない。サンプル文書のメタデータ・真正性の独立鑑定を求めること。 |
| サイバーセキュリティ担当者 | Check Point Research・SOCRadar・Flareの最新レポートを継続的に監視。Void ManticoreのTTPアップデートをSIEMルールに反映する。 |
| 全組織共通 | 未確認のハッキング主張に対して即座に反応・拡散しない。攻撃者の真の目的は混乱と動揺の拡散であり、冷静かつ組織的な対応がPSYOP(情報心理戦)の効果を無力化する最大の防御となる。 |
補足:信頼性について
本レポートの総合信頼度評価「中〜高」は以下の根拠による。
| 評価項目 | 信頼度 | 根拠 |
| グループHandalaの実在とMOIS帰属 | 高 | Check Point・SOCRadar・Unit 42・Flare・Recorded Futureの5機関以上が独立して確認 |
| Strykerへの攻撃 | 高 | Stryker社がSEC 8-K(一次ソース)で公式確認 |
| Mossad(モサド)メール文書の内容・件数 | 中 | CyberNewsがサンプルを確認。独立した第三者鑑定は未実施 |
| 10万件という数字 | これは要検証 | 同グループは過去にも誇張した数字を提示する傾向がある |
| イスラエル当局コメント | なし | 現時点で公式コメントは存在しない。沈黙は否定でも肯定でもない |
参考資料
| Check Point Research | Void Manticore / Handalaの命名・追跡元。最高信頼度。 |
| SOCRadar | イラン・イスラエルサイバー戦のリアルタイム監視レポート。 |
| Palo Alto Unit 42 | イランAPTグループのTTP分析・インフラ調査。 |
| Recorded Future / The Record | 国家レベルAPT追跡・Alexander Leslieによる分析。 |
| Flare | ダークウェブ監視・ドメイン差し押さえ影響分析。 |
| CyberNews | 漏洩サンプル文書の確認・速報報道。 |
| Foreign Policy | 米イラン戦争とサイバー戦の構造的分析。 |
| Augur Security | イランAPTグループの事前インフラ構築活動調査。 |
| Axios / Euronews | Operation Epic Fury関連速報・外交動向。 |
| 米司法省(DoJ) | FBIドメイン差し押さえ公式声明(一次ソース)。 |
| Stryker SEC 8-K報告書 | 被害を公式確認した一次ソース。 |
| The Register | 開戦以降のサイバー犯罪活動245%急増レポート。 |
Iranian Hackers: Cyber Retaliation Against Israel
Mossad Intelligence Leaks: Recommendations for the Field
The Mossad Classified Data Breach and Its Implications — Analyzing Iran’s Cyber Retaliation as Hybrid Warfare
Published: March 21, 2026
Publisher: Japan Institute of Crisis Management (一般財団法人 日本危機管理研究所)
Author: Miho Funayama
*英訳版は日本語版の後に掲載しています。/ The English translation follows the Japanese text below.
Keywords
Operation Epic Fury / US-Iran War / Handala / Mossad / Hybrid Warfare / Cyber Retaliation / Hack & Leak / FBI Domain Seizure / PSYOP (Psychological Operations)
Perspective of This Report
This report analyzes the cyber intelligence theft operation conducted by Iran-linked hacker group Handala (a state-affiliated cyberattack collective backed by Iran’s Ministry of Intelligence and Security) against former senior Mossad (Israel’s foreign intelligence agency) officials in mid-March 2026 — not as an isolated cyber incident, but as one dimension of the Hybrid Warfare connected to the full-scale military confrontation between the United States, Israel, and Iran that began on February 28, 2026.
The core of this incident lies not in “the authenticity of the data” but in “why this attack was carried out now.” Mossad is an agency that has leveraged its image of “invincibility” as a deterrent, and the claim that former senior officials’ emails were compromised constitutes a PSYOP (Psychological Operations) attack that inflicts psychological damage far beyond mere data theft. Cyberattacks occupy a strategic core as “reachable and deniable means of retaliation.” Modern cyberattacks do not merely destroy physical infrastructure — they simultaneously function as psychological weapons that cause confusion, distrust, and paralysis of decision-making within targeted organizations and societies.
It should be noted that Israel has not issued any official statement on this matter. However, silence does not mean denial. It is standard international practice for intelligence agencies not to acknowledge breaches, and the silence itself cannot be used as grounds for determining truth or falsehood.
Based on the above analysis, the final chapter of this report presents practical implications and recommendations directed at governments, security agencies, private companies, and cybersecurity professionals respectively.
1. Executive Summary
- [Outbreak of War] On February 28, 2026, the United States and Israel launched Operation Epic Fury and Operation Roaring Lion — large-scale joint military attacks on Iran that resulted in the assassination of more than 40 Iranian officials including Supreme Leader Khamenei.
- [Cyber Retaliation Begins] Within hours, Iran launched a multi-layered cyber retaliation campaign. More than 60 groups including Handala (a state-sponsored hacker group under Iran’s Ministry of Intelligence and Security — detailed in Chapter 5), the 313 Team, and Keymous began attacking Israeli and U.S. infrastructure, and attacks are ongoing.
- [Positioning of This Incident] Handala’s claim of stealing and publishing more than 100,000 classified emails from the accounts of former Mossad officials including Deborah Oppenheimer is part of a wartime cyber retaliation campaign. It should be understood not as an isolated hack but as a PSYOP attack coordinated with military operations. The purpose of the attack is not the data itself but the spreading of confusion and alarm in a state where the truth of the information cannot be determined.
- [Largest Confirmed Damage] On March 11, 2026, Handala executed a wiper attack against U.S. medical device giant Stryker. Stryker officially confirmed this in an SEC 8-K filing, and the company’s stock price fell more than 9%.
- [FBI Response] On March 19, 2026, the FBI seized two of Handala’s primary domains. However, this was limited to disrupting distribution channels and did not eliminate the attack infrastructure or capabilities.
- [Credibility] The complete authenticity of the Mossad email claims remains unconfirmed, but given the group’s track record, technical capability, and the fact that samples were presented, the probability of it being complete disinformation is low. Israel’s silence does not constitute denial.
- [Recommendations for the Field] This report goes beyond factual analysis — in the final chapter (Chapter 8), it presents practical implications and recommendations directed at governments, security agencies, private companies, and cybersecurity professionals respectively.
2. Details of the Incident
2-1. Handala’s Claims
| Date of Claim | Mid-March 2026 |
| Target ① | Deborah Oppenheimer — Former Deputy Director of External Relations and Cooperation at Mossad; currently Director of International Affairs at the Israeli National Security Authority |
| Target ② | Sima Shine — Former Head of Research at Mossad (claimed publication of more than 100,000 emails) |
| Target ③ | Laura Gilinski — Former Deputy Director of Planning and Strategy at Mossad |
| Target ④ | Major General Tamir Hayman — Former Head of Military Intelligence |
| Claimed Content | Successful intrusion into each individual’s email account; theft and publication of more than 100,000 classified emails |
| Document Content (Samples) | Iran’s nuclear development status, Middle East U.S. Summit, Syrian Ministry of Electricity, warnings from U.S. intelligence agencies (2018–2024) |
2-2. Strategic Significance
What distinguishes this incident from ordinary hacking is its PSYOP (Psychological Operations) character, coordinated with military operations. Mossad is an agency that has leveraged its image of “invincibility” as a deterrent, and the claim that former senior officials’ personal emails were compromised is designed to inflict psychological damage far beyond mere data theft.
Timing is also significant. This period — approximately three weeks after the launch of Operation Epic Fury — coincides precisely with the phase in which Iran, while suffering damage to domestic infrastructure, needed to demonstrate externally that “resistance continues.” The fact that this occurred in parallel with a claimed attack on Hebrew University timed to coincide with Quds Day (March 14) also suggests the existence of operational coordination.
3. Why Cyberattacks Are Intensifying
3-1. Overview of Military Operations
On February 28, 2026, the United States and Israel carried out large-scale joint military attacks on Iran under separate operation names.
United States: Operation Epic Fury
| Date of Outbreak | February 28, 2026 |
| Primary Targets | Iran’s nuclear and missile infrastructure, IRGC command structure |
| Key Outcomes | Elimination of more than 40 individuals including Supreme Leader Khamenei, IRGC Commander Pakpour, Minister of Defense, and National Security Secretary |
| Accompanying Cyber | Cyberattacks on Iranian domestic infrastructure caused more than 60 hours of domestic internet outage (connectivity dropped to 1–4%) |
Israel: Operation Roaring Lion
| Date of Outbreak | February 28, 2026 (same day as U.S.) |
| Primary Targets | Revolutionary Guard bases in Tehran, intelligence agency facilities |
| Intelligence Methods | Near-total advance control of surveillance cameras throughout Tehran; targets identified through AI analysis |
| Notable Point | Sophisticated intelligence operation combining AI and surveillance camera footage to track Supreme Leader Khamenei’s movements |
3-2. Why Iran Relies on Cyber
According to Foreign Policy analysis, Iran has historically depended on cyber operations and asymmetric retaliation because it lacks the means to respond symmetrically to the United States and Israel with conventional weapons. The structural vulnerability that escalation pressure toward cyberattacks intensifies as conventional weapons capabilities are destroyed has been identified.
Unit 42 assesses that “even with Iran’s internet cut off, state-sponsored APT groups can continue operations through pre-deployed infrastructure abroad.” Handala has been confirmed to have continued operations from Starlink IP ranges even during the domestic internet blackout.
3-3. Cyber Operations Prepared Before the War
According to Augur Security research, major Iranian APT groups were conducting notable infrastructure-building activities six months before the launch of Operation Epic Fury. This indicates not post-hoc retaliation but “pre-positioned” attacks placed in a ready state to be deployed simultaneously with the outbreak of war. MuddyWater has been confirmed to have already infiltrated Israeli-related defense and financial targets weeks before the outbreak of hostilities.
4. Cyberattack Timeline Since the Outbreak of War
| Date | Incident | Details |
|---|---|---|
| Feb. 28 | Day of Outbreak | Electronic Operations Room established. Handala, 313 Team, and Keymous immediately begin attacks on Israel. #OpIsrael campaign launched. |
| Mar. 2 | Panjaki Killed | Seyed Yahya Hosseini Panjaki — MOIS Deputy Director and alleged Handala commander — killed in U.S.-Israel attack (confirmed by Check Point). Handala continues operations. |
| Mar. 2 onward | Russia Joins | Pro-Russian NoName057(16) joins Iran cyber coalition. Targets include Israeli defense contractor Elbit Systems. |
| Mar. 6 | MuddyWater Activates | IRGC-affiliated MuddyWater begins using pre-deployed backdoors. Targets: telecommunications, oil and gas, government agencies. |
| Mar. 11–12 | Stryker Attack (Confirmed) | Handala intrudes into U.S. Stryker via Microsoft Intune. Company officially confirms in SEC 8-K filing. Stock price falls more than 9%. |
| Mid-Mar. | Mossad Attack Claimed | Handala claims theft of classified emails from multiple former Mossad senior officials (subject of this report). |
| Mar. 14 | Quds Day | Handala claims attack on Hebrew University timed to final Friday of Ramadan (claims 40TB erased — unverified). |
| Mar. 19 | FBI Seizure | U.S. FBI and DoJ seize two of Handala’s primary domains (handala-hack[.]to, etc.) based on warrant. |
According to The Register, cybercrime activity has surged 245% since the outbreak of war. More than 60 hacktivist groups are currently active, and with the entry of pro-Russian groups, the scope of attacks has expanded to Europe as well.
5. Profile of the Attacker: Handala (also known as Void Manticore)
| Identity | Public-facing persona of a state-sponsored cyber operations unit under Iran’s Ministry of Intelligence and Security (MOIS) |
| Aliases | Void Manticore / Storm-0842 / BANISHED KITTEN / Red Sandstorm / Dune |
| Activity Start | As a public persona, late 2023. Predecessor clusters may date back to around 2008 |
| Former Commander | Seyed Yahya Hosseini Panjaki (sanctioned by U.S. Treasury, EU, and UK. Confirmed killed March 2, 2026) |
| Attack Methods | Phishing, VPN brute force, Microsoft Intune exploitation, custom wipers, hack & leak |
| Objectives | Not financially motivated — primary objectives are destruction, intelligence theft, and PSYOP |
| Continuity | Confirmed to have continued operations from Starlink IP ranges even during domestic internet blackout (Unit 42) |
6. FBI Domain Seizure (March 19, 2026)
The U.S. Department of Justice, acting on a warrant from the federal district court (Maryland), seized two of Handala’s primary domains.
7. Analysis and Outlook
Why Israel Remains Silent
- Risk of cascading vulnerability exposure: Officially acknowledging intrusion routes would suggest the existence of other security flaws
- Maintaining deterrence image: Acknowledging damage to Mossad’s “invincible” image would constitute a psychological blow
- Incomplete grasp of damage scope: In some cases, what was obtained cannot be fully determined
- Impact on counterintelligence and investigations: Acknowledging the operation would signal “operational success” to the adversary
Cases in which Israel has officially acknowledged cyber damage are virtually nonexistent, and the silence in this instance represents standard procedure.
Conclusion — Recommendations for the Field
Handala’s claimed theft of Mossad-related personnel email data is not an isolated hacking incident. It is part of an organized operation in the cyber dimension of the Hybrid Warfare that Iran is deploying in the full-scale military confrontation between the United States, Israel, and Iran that began on February 28, 2026.
For Iran, cyberattacks occupy a strategic core as “reachable and deniable means of retaliation.” The more conventional weapons are destroyed, the greater the tendency to rely on cyberattacks.
The claimed attack on Mossad must be understood in that context as a compound operation seeking to simultaneously achieve military retaliation and psychological operations.
The practical implications derived from this analysis are as follows:
| Target | Recommended Actions |
|---|---|
| Governments and Security Agencies | Strengthen security screening of personal email accounts of intelligence agency personnel — both active and retired. Enforce multi-factor authentication and conduct regular breach verification. |
| Defense and Critical Infrastructure Companies | Review MDM environment configurations such as Microsoft Intune and assess the risk of abuse of cross-device management privileges. Stryker’s SEC 8-K disclosure has established a precedent for disclosure obligations. |
| Media and Research Institutions | Do not report claims by Handala and similar groups without verification. Request independent authentication of sample documents’ metadata and authenticity. |
| Cybersecurity Professionals | Continuously monitor the latest reports from Check Point Research, SOCRadar, and Flare. Reflect Void Manticore TTP updates in SIEM rules. |
| All Organizations | Do not react to or spread unconfirmed hacking claims immediately. The attacker’s true objective is the spreading of confusion and alarm — calm, organized response is the greatest defense that neutralizes the effects of PSYOP. |
Supplement: On Credibility
The overall credibility assessment of “Medium to High” in this report is based on the following grounds:
| Assessment Item | Credibility | Basis |
|---|---|---|
| Existence of Handala and attribution to MOIS | High | Independently confirmed by 5+ agencies including Check Point, SOCRadar, Unit 42, Flare, and Recorded Future |
| Attack on Stryker | High | Officially confirmed by Stryker in SEC 8-K (primary source) |
| Content and volume of Mossad email documents | Medium | CyberNews confirmed samples. Independent third-party authentication not yet conducted |
| The figure of 100,000+ emails | Requires verification | The group has a track record of presenting exaggerated figures |
| Israeli authority comment | None | No official comment exists at this time. Silence is neither denial nor confirmation |
References
| Check Point Research | Original naming and tracking source for Void Manticore / Handala. Highest credibility. |
| SOCRadar | Real-time monitoring reports on Iran-Israel cyber warfare. |
| Palo Alto Unit 42 | TTP analysis and infrastructure investigation of Iranian APT groups. |
| Recorded Future / The Record | Nation-state APT tracking and analysis by Alexander Leslie. |
| Flare | Dark web monitoring and domain seizure impact analysis. |
| CyberNews | Confirmation and breaking news reporting on leaked sample documents. |
| Foreign Policy | Structural analysis of the U.S.-Iran war and cyber warfare. |
| Augur Security | Investigation of pre-war infrastructure-building activity by Iranian APT groups. |
| Axios / Euronews | Breaking news on Operation Epic Fury and diplomatic developments. |
| U.S. Department of Justice (DoJ) | Official FBI domain seizure statement (primary source). |
| Stryker SEC 8-K Filing | Primary source officially confirming the damage. |
| The Register | Report on 245% surge in cybercrime activity since outbreak of war. |
Author: Miho Funayama, Director and Senior Researcher Specializing in cyber security intelligence, grounded in international political economy and psychology. Has served as Vice International Secretary of ISO/IEC JTC1 SC28, leading international standards development processes. Currently engaged in cross-disciplinary research spanning AI risk, information warfare, and crisis management policy.