Ocho nuevos sitios en cinco días: las fuerzas cibernéticas iraníes preparan una operación a gran escala para la primavera de 2026

La campaña cibernética iraní, que en distintos momentos se ha asociado con los nombres Homeland Justice, KarmaBelow80 y Handala, parece no ser un conjunto de grupos aislados, sino un único sistema bajo distintos rótulos. A tal conclusión llegaron especialistas, al comparar datos de agencias estadounidenses, material de empresas privadas, información sobre dominios y un archivo multianual de publicaciones en la red y en Telegram.

Según su evaluación, detrás de los tres nombres, con alta probabilidad, hay una ecosistema vinculado al Ministerio de Inteligencia y Seguridad de Irán. No se trata de varios «hacktivistas» independientes, sino de una estructura coordinada donde distintas marcas cumplen tareas diferentes. Una sirve para ataques y para dejar sistemas inoperativos, otra para publicar datos robados y presionar a las víctimas, y una tercera para la presentación política y el efecto informativo.

Los autores del análisis creen que la cadena es bastante trazable. Primero, en 2022 apareció Homeland Justice, que participó en ataques contra estructuras estatales de Albania. Luego, a finales de 2023, la actividad contra objetivos israelíes comenzó bajo el nombre Karma. Desde 2024 la figura de Handala ganó protagonismo. Al cambiar los nombres, el sello general, la infraestructura, las formas de promoción en Telegram y la lógica de selección de objetivos siguieron siendo muy parecidos.

El texto afirma que la campaña creció gradualmente de ataques destructivos a un sistema más amplio de influencia. En la fase temprana, los atacantes obtenían acceso a redes, robaban datos, cifraban o borraban información y después asumían públicamente la responsabilidad. Más adelante, los operadores empezaron a vigilar a las víctimas, mantener acceso persistente, espiar a personas concretas y presionarlas publicando datos personales. Al final, los ciberataques, la vigilancia y las operaciones informativas se fusionaron en un mismo esquema.

Los autores consideran como eslabón clave la participación presunta de Seyed Yahya Hosseini Panjaki, a quien vinculan con el Ministerio de Inteligencia y Seguridad de Irán. En el análisis se subraya que no solo importa la identidad de la persona señalada, sino también el posible nivel de mando. Ese rastro indica no una actividad caótica de contratistas, sino una campaña con objetivos, control y conexión con intereses estatales.

Cómo comenzó el ataque contra Albania

La primera gran demostración pública de las capacidades de esta estructura fueron los ataques contra Albania. Según los datos citados, los atacantes accedieron a la red mediante una vulnerabilidad en Microsoft SharePoint aproximadamente 14 meses antes de la fase pública de la operación. Luego se afianzaron en la infraestructura, instalaron web shells, exploraron la red interna, recopilaron credenciales, se movieron entre sistemas mediante protocolos administrativos estándar y obtuvieron acceso a servidores de correo Microsoft Exchange. Solo tras una larga preparación los atacantes empezaron a robar grandes volúmenes de datos y a realizar acciones destructivas.

En la etapa final del ataque los atacantes cifraron y borraron datos, y la operación la acompañaron públicamente a través de sitios y canales en Telegram. Homeland Justice no solo asumió la responsabilidad, sino que convirtió el incidente técnico en un espectáculo político con acusaciones, comunicados y la publicación selectiva de materiales. Ese enfoque, según los autores, se convirtió en el modelo básico de toda la campaña posterior.

En 2023 los operadores se reactivaron contra objetivos albaneses. En esa fase surgió No-Justice Wiper, una herramienta maliciosa capaz de dejar sistemas inservibles de forma rápida e irreversible. Los especialistas señalaron que los operadores usaron archivos firmados y scripts de PowerShell, lo que indica intentos de evadir las defensas y apoyarse en las capacidades legítimas de Windows.

Tras el recrudecimiento del conflicto entre Israel y HAMAS en el otoño de 2023, la campaña amplió su geografía y empezó a actuar bajo el nombre Karma. A pesar del cambio de rótulo, los métodos casi no variaron. En los ataques contra organizaciones israelíes se utilizaron herramientas propias, web shells, mecanismos de comprobación de credenciales, túneles SSH inversos y mecanismos de destrucción, entre ellos BiBi Wiper. Según los autores, ya se apreciaba una división de roles entre quienes realizan la intrusión y quienes se encargan de destruir datos y del final ruidoso.

Fase Handala e infraestructura rotativa

Desde 2024 la figura pública central se volvió cada vez más Handala. El análisis de dominios como handala-hack[.]ps, handala-hack[.]tw y otras direcciones muestra que la infraestructura de esta campaña es desde el inicio desechable. Los dominios aparecen con rapidez, se usan, desaparecen y se sustituyen por otros nuevos, pero el nombre reconocible se mantiene. Ese enfoque ayuda a sobrevivir bloqueos y decomisos sin perder audiencia ni el efecto de reconocimiento.

Los autores destacan además que los sitios de Handala suelen ser sencillos y a menudo funcionan con WordPress. El papel principal de esas plataformas no es alojar malware, sino publicar comunicados, filtraciones y amenazas. El trabajo técnico real ocurre en otra capa, dentro de las redes comprometidas, y los dominios sirven de escaparate y punto de referencia para las publicaciones que luego se difunden por Telegram y redes sociales.

Qué publican tras las intrusiones

El contenido de las filtraciones se divide en varios tipos. Con más frecuencia publican correspondencia electrónica para mostrar la profundidad del acceso. Un segundo bloque lo constituyen datos personales, números de teléfono y listas de contactos que usan para intimidar y presionar. Un tercer bloque son las afirmaciones sobre accesos a infraestructuras críticas, por ejemplo sistemas de abastecimiento de agua o redes eléctricas. Incluso cuando esas declaraciones son difíciles de verificar, las propias publicaciones funcionan como herramienta de presión psicológica.

En la práctica, las consecuencias de las operaciones de Handala, según los autores, suelen situarse más en el plano psicológico y reputacional que en el técnico. Entre los pocos casos en que el daño pareció realmente a gran escala, el análisis menciona el incidente con Stryker Corporation. Según la información disponible, el ataque interrumpió la operativa de la empresa: dejó de procesar pedidos, de fabricar y enviar productos, y la recuperación llevó varios días. También se informó del borrado remoto de decenas de miles de dispositivos. Ese episodio, en opinión de los autores, excedió la dimensión de una filtración habitual y atrajo la atención de las autoridades.

Otro ejemplo apunta a la publicación de correspondencia personal, imágenes y documentos atribuidos a Kash Patel. En ese caso, según los especialistas, el objetivo principal no fue tanto el daño técnico como la humillación pública, la presión y la creación de riesgos de contrainteligencia. Parte de otros episodios sigue siendo controvertida. Algunas intrusiones recibieron amplia atención mediática, pero no aparecieron confirmaciones independientes sobre la magnitud completa de las consecuencias.

Vigilancia y Telegram como parte del esquema

Una rama separada de la campaña está vinculada con la vigilancia. Desde finales de 2023 los operadores usan cada vez más aplicaciones falsas disfrazadas de mensajerías, gestores de contraseñas y otros programas útiles. Al ejecutarse, esos archivos instalan módulos maliciosos para observar permanentemente a las víctimas. Según los autores, los programas maliciosos pueden tomar capturas de pantalla, interceptar audio, recopilar archivos y robar credenciales.

Telegram ocupa un lugar destacado en este esquema. La plataforma sirve a dos fines a la vez. Por un lado, mediante Telegram Bot API los programas maliciosos reciben órdenes y envían datos robados, camuflando el tráfico malicioso como comunicaciones normales en el mensajero. Por otro lado, los mismos canales se usan para propaganda, la publicación de comunicados y la difusión de filtraciones. Ese formato doble conecta la parte técnica oculta de la operación con su dimensión pública y mediática.

Los autores describen la evolución de las herramientas por etapas. Al principio los operadores apostaron por una presencia prolongada y oculta, para después cifrar y borrar datos de forma simultánea. Luego surgieron medios de destrucción más rápidos y severos. En la etapa Karma se añadió trabajo manual dentro de los sistemas y se empezó a usar con más intensidad herramientas legitimas. Bajo la marca Handala el esquema se volvió aún más flexible. Los atacantes comenzaron a combinar sus propios «wipers», scripts de PowerShell, soluciones legítimas de cifrado como VeraCrypt y herramientas corporativas para reconocimiento interno de red.

El signo más preocupante de la nueva etapa, según los autores, fue el ataque al sistema de gestión de dispositivos Microsoft Intune en el caso de Stryker. Según esa hipótesis, los atacantes no accedieron solo a equipos individuales, sino al panel de administración en la nube desde el que la compañía gestiona una gran cantidad de dispositivos. Ese acceso permite dar órdenes a miles de ordenadores y teléfonos de forma masiva, sin necesitar un archivo malicioso clásico en cada equipo. Si la evaluación es correcta, la campaña alcanzó un nuevo nivel, donde el objetivo se desplaza de estaciones de trabajo aisladas a nodos centrales de administración del entorno corporativo.

Los especialistas también señalan una nueva actividad en la infraestructura de dominios. Del 19 al 23 de marzo de 2026, según sus datos, los operadores registraron al menos ocho dominios nuevos vinculados simultáneamente con tres marcas: Handala, KarmaBelow80 y Homeland Justice. Entre ellos mencionan handala-hack[.]pro, handala-hack[.]shop, handala-hack[.]tw, handala-redwanted[.]cc, handala-redwant[.]to, karmabelow80[.]biz, karmabelow80[.]st y Homeland Justice[.]info. Esa serie densa de registros, opinan los autores, se asemeja más a la preparación de nuevas operaciones o a la recuperación de infraestructura tras fallos y bloqueos que a una rotación ordinaria.

La conclusión principal del análisis es la siguiente: Homeland Justice, KarmaBelow80 y Handala conviene verlos como máscaras diferentes de una misma estructura. La diferencia entre los nombres no corresponde a organizaciones distintas, sino a roles distintos dentro de una campaña global. Un mismo aparato puede hacer labores de espionaje, borrar datos, publicar filtraciones y lanzar presión informativa, cambiando el rótulo según la audiencia y la misión.

Si las conclusiones de los autores son correctas, no se trata ya de una serie de ataques aislados, sino de un mecanismo estatal en funcionamiento permanente. Ese mecanismo es capaz de restaurar infraestructura con rapidez, cambiar nombres, trasladar actividad entre países y combinar intrusiones con presión psicológica. La principal fortaleza de la campaña, al parecer, no radica solo en el malware, sino en la capacidad de convertir cada intrusión exitosa o incluso parcialmente confirmada en una historia ruidosa que sirve para intimidar, dañar la reputación y generar efecto político.