מבוא

קבוצת הסייבר "הנדלה" (“Handala”) מציגה דפוס פעולה ייחודי של איראן במרחב הדיגיטלי: שימוש בפרסונות סייבר שאינן מוגדרות כזרוע רשמית של המשטר, אך פועלות מטעמו לשם פגיעה בישראל ובאופוזיציה בגולה, וחיזוק הלגיטימציה הפנימית. פעילות "Handala" מאז פרוץ מלחמת ישראל-חמאס באוקטובר 2023, ובעיקר לאחר סיום הלחימה הישירה בין ישראל לאיראן ביוני 2025, ממחישה כיצד טהרן עושה שימוש במתקפות סייבר לא רק כאמצעי לוחמה תודעתית ומבצעית, אלא גם כתחליף חלקי לאובדן היכולות הצבאיות שנפגעו במלחמה.

הפעלת "Handala" מאפשרת לאיראן לשמר מרחב הכחשה, לנהל לוחמת מידע נגד ישראל ונגד האופוזיציה האיראנית, ולגבות מחיר מדוד מהצד הישראלי בסיכון נמוך יחסית. עם זאת, דפוס זה עשוי להתפתח בטווח הזמן הקרוב לכלי הרתעה חיצוני משמעותי, אם יתגברו היקף התקיפות ועוצמתן. עבור ישראל, הבנת תפקידן של פרסונות סייבר כמו "Handala" חיונית לגיבוש מענה אסטרטגי בזירת הסייבר, הן בהיבטי הגנה טכנולוגיים והן בהיבטי תודעה ציבורית והרתעה.

נייר זה בוחן את גישתו של המשטר האיראני למרחב הסייבר כממד לחימה, וזאת על ידי בחינת מקרה בוחן של הפרסונה “Handala” המופעלת על ידי משרד המודיעין האיראני מאז שלהי 2023.

רקע

על אף הפסקת האש בין ישראל לאיראן מאז סיום מלחמת 12 הימים ביוני 2025, טהרן ממשיכה לנסות לפגוע ביעדים ישראליים באמצעות תקיפות סייבר. אחת מקבוצות הסייבר הבולטות בהקשר זה היא קבוצת "הנדלה" ("Handala”), שאומנם הציגה את עצמה כקבוצת אקטיביסטים פרו-פלסטינית עם קשר איראני מעומעם, אך שינוי בדפוס הפעילות המוכר שלה, לצד חשיפות עומק שונות, לא הותירו מקום לספק כי מדובר בקבוצה איראנית הפועלת בשירות האינטרסים של המשטר.

הפרסונה פעילה לפחות מדצמבר 2023,^[1] כחודשיים לאחר פרוץ המלחמה בין ישראל לחמאס, אם כי ייתכן כי החלה לפעול כבר בספטמבר^[2] של אותה שנה, כשהיא מבססת נוכחות ברשתות X וטלגרם. אם בתקופה שלפני המלחמה הישירה בין ישראל לאיראן בקיץ 2025 הייתה חלק משמעותי ממארג פרסונות וזהויות איראניות^[3] שפעלו ביתר שאת נגד ישראל, הרי שלאחר הפסקת האש התבססה "Handala" כפרסונה האיראנית הבולטת ביותר שתוקפת את ישראל.

מערך הסייבר ההתקפי של איראן

איראן מתַחזקת מערך סייבר התקפי הכולל יחידות תקיפה מבצעיות, חלקן מסונפות למשרד המודיעין וחלקן למשמרות המהפכה. יחידות אלו מבצעות מתקפות סייבר למטרות מגוונות – ריגול, השפעה, פגיעה והרס – תוך שימוש במגוון פרסונות וכיסויים שמטרתם לטשטש את הקשר הישיר למשטר.^[4]

רבות מן היחידות הללו נחשפו על ידי מדינות, כלי תקשורת, מיקרוסופט וחברות אבטחת מידע, שהצביעו על הקשר הישיר בינן לבין איראן. כך, למשל, תקיפת סייבר נגד חברת הביטוח המובילה "שירביט" בישראל ב-2020 בוצעה על ידי יחידה המכונה "Pink Sandstorm" של משרד המודיעין האיראני, אך האחריות נלקחה על ידי פרסונת "Black Shadow" שנועדה להרחיק את הקשר הישיר מטהרן.^[5]

זהותה ופעילותה של הפרסונה “Handala”

שמה של הפרסונה נגזר מדמות הקומיקס "حنظلة" בערבית ("Handala") – דמות טעונה מבחינה סמלית וזהותית בהקשר הפלסטיני, סמל משמעותי עבור העם הפלסטיני. הדמות מסמלת את הפליטות הפלסטינית ואת העוולות שנגרמו לעם הפלסטיני בידי ישראל.^[6]

קשה להתחקות במדויק אחר פעילותה מאז חשיפתה בשלהי 2023, שכן עמודי ה-X והטלגרם שניהלה נמחקו פעמים מספר והוחלפו באחרים. חברת אבטחת המידע Cyberint הצביעה על פוסט שהעלתה Handala ב-26 בדצמבר 2023 ובו הביעה תמיכה בחמאס וכתבה כי החלה לפעול נגד ישראל לאחר חיסולו של גנרל משמרות המהפכה סיד רצ'א מוסוי, שחוסל בסוריה בתקיפה המיוחסת לישראל באותו חודש.^[7]

אינדיקציות מוקדמות נוספות, אם כי לא חד-משמעיות, לשיוכה לאיראן הופיעו באזהרת מערך הסייבר הלאומי של ישראל מה-25 בדצמבר 2023, בנוגע לתקיפת Phishing בידי קבוצת תקיפה איראנית (ללא פירוט נוסף על זהותה או שיוכה הארגוני), המתחזה לחברת F5, שמטרתה להתקין קובץ זדוני בשם "handala.exe". יצוין כי בפרסום נכללו קבצים עם שמות נוספים בעלי אוריינטציה דומה.^[8] נוסף על כך, הפרסונה פרסמה בערוצים שלה מסרים הלועגים למערך הסייבר הישראלי, ואף פרסמה ב-19 בדצמבר 2023 פוסט אזהרה ברשת X בנוגע לכוונותיה לתקוף את ישראל, שכלל את התיוג "F5".^[9]

ניתן להסיק מכך כי בשלבי הפעילות המוקדמים שלה מיצבה הפרסונה את עצמה כחלק אינטרגלי מ"חזית ההתנגדות" והדגישה את השתתפותה במאבק הפלסטיני על פני היותה קבוצה המשרתת אינטרסים איראניים (שכזכור, לא תמיד כללו תקיפה ישירה נגד ישראל, ודאי שלא לפני חיסולו של ראש גיס סוריה-לבנון בכוח קודס, מחמד רצ'א זאהדי, ב-1 באפריל 2024).

במהלך שנת 2024 התפרסמו דו"חות המשייכים את הפרסונה באופן חד-משמעי לאיראן, ובאופן ספציפי לקבוצת התקיפה המכונה Storm-0842,[10] הקשורה למשרד המודיעין האיראני ואחראית גם לפעילות תחת הזהויות "DarkBit" ו-"Homeland Justice",[11] ששמן נקשר בשנים האחרונות למבצעי תקיפה איראניים למטרות השפעה, כפי שיפורט בהמשך.

בקיץ 2025 סטתה הפרסונה מהתמקדותה בישראל ופרצה לחשבונות טלגרם של אנשי ערוץ הטלוויזיה האיראני האופוזיציונרי "Iran International", שבסיסו בלונדון, ופרסמה מידע אינטימי רב על אודותיהם.^[12] תקיפה זו, נועדה, ככל הנראה, לחזק את תדמיתו הפנימית של המשטר באמצעות תקיפת אחד מגופי התקשורת הגולים, והעוינים למשטר, שהוא בעל השפעה ניכרת על הציבור האיראני. בהמשך לכך חשף "איראן אינטרנשנל" כי מאחורי הפרסונה עומד גוף בשם "קרן כיתן" – המסונף למשרד המודיעין האיראני – ואחד הפעילים המרכזיים בה הוא אדם בשם עלי ברמודה, המנהל קשרים קרובים עם משטרת הסייבר האיראנית (FATA). בנוסף, הערוץ חשף גם פרטים מחייו האישיים של ברמודה.^[13]

בתקופה שלאחר המלחמה עם ישראל, בד בבד עם תקיפת ערוץ "Iran International", קשרה הקבוצה את עצמה באופן מובהק יותר למדינת איראן ולאינטרסים של המשטר, מה שעשוי לרמוז על שינוי באופי הפעילות שלה ובנרטיב שהיא מקדמת.

קבוצת "Handala" עצמה מתמקדת לרוב בתקיפות נגד חברות ישראליות, משרדי ממשלה וגופים ציבוריים, באמצעות גנבת מידע, השחתת אתרים ולעיתים גם פעולות השפעה, כשהמקרים הבולטים בהקשר הזה הם הדלפת פרטיהם של ישראלים רבים הנושאים נשק ברישיון בתחילת פברואר 2025,^[14] והטענה לפריצה בספטמבר 2024 לשרתים הקשורים למתקן הגרעיני בנחל שורק ולגנבת מידע רב.^[15]

לעיתים "Handala" גם מנצלת את הרשתות שאליהן חדרה לביצוע פעולות השפעה, כמו שניתן לראות במקרה הפריצה של הפרסונה, בינואר 2025, לחברת שיווק הציוד האלקטרוני "מאגר-טק" כשהשמיעה דרך מערכות הכריזה של החברה (המותקנות בין היתר בגני ילדים בישראל) קולות אזעקה ומסרים בערבית.^[16] במקרה נוסף, מיוני 2024, שבו הופצו הודעות מאיימות ממערכת המועצה האזורית מעלה יוסף בצפון ישראל,^[17] לקחה "Handala" אחריות על שליחת ההודעות וטענה כי התקיפה התבצעה דרך פריצה לחברת My City. ^[18]

ב-22 באוגוסט 2025 פרסמה הפרסונה כי במסגרת המלחמה בין איראן לישראל היא פרצה לארגונים ולחברות ישראליים, ביניהם: מכון ויצמן, קיבוץ אלמוג, חברת אירודימס, חברת Y.G New Era, חברת התקשורת 099, חברת החדשות TBN, חברת אגורה, חברת מערכות סבן, חברת שירותי הרכב אל-והר, קבוצת Y.H.D, חברת בן חורין ואלכסנדרוביץ' וחברת Job Info. בנוסף לכך פרסמה הקבוצה תקיפות מטעמן של קבוצות נוספות: "חזית התמיכה בסייבר", "תופאן" ו"פיניקס".^[19]

אחד המאפיינים הייחודיים לקבוצה הוא המשך פעילותה נגד ישראל גם לאחר סיום המלחמה בין ישראל לאיראן וכניסתה של הפסקת האש לתוקף (24 ביוני 2025). בתקופה זו אומנם ירדה תדירות התקיפות של הפרסונה בהשוואה לתקופה של המלחמה, אך היא המשיכה לטעון כי תקפה חברות ישראליות ואף ביצעה מתקפת סייבר משמעותית נגד "איראן אינטרנשנל", שלטענת הקבוצה ממומנת על ידי הסעודים ומופעלת על ידי המוסד הישראלי, ובמסגרתה חשפה חומרים רבים על אודות אנשי הערוץ. ^[20] הקבוצה המשיכה לפעול גם נגד יעדים ישראליים ופרצה בשבוע השני של יולי 2025 לחשבון הטלגרם של העיתונאי הישראלי ינון מגל, ופרסמה בו מסרים נגד נתניהו.^[21]

אף על פי שלעיתים הקבוצה מפריזה בתוצאות התקיפות שלה ואף נוטלת אחריות על תקיפות ללא ראיות ממשיות להתרחשותן – היא בדרך כלל מפרסמת את המידע שברשותה ומספקת הוכחות כי אכן חדרה לרשתות שאותן היא טוענת שתקפה.

הסביבה המבצעית של "Handala"

קבוצת "Handala" משויכת, כאמור, ליחידה איראנית המסונפת למשרד המודיעין והמתמחה בתקיפות סייבר הרסניות למטרות השפעה. בין המבצעים הבולטים של אותה יחידה ניתן למנות:

1. התקיפה נגד אלבניה (2022):

בתגובה להענקת מקלט מדיני לארגון האופוזיציה האיראנית "מג'האדין ח'לק" (MEK), ביצעה איראן מתקפת סייבר משמעותית נגד אלבניה שכללה הדלפה ומחיקה של מידע ממשלתי רגיש מכמה רשויות אלבניות. יש לציין שהאיראנים החזיקו בגישה לרשתות שתקפו במשך 14 חודשים בטרם ביצעו את התקיפה בפועל,^[22] מה שאפשר להם לתכנן בקפידה את המתקפה כדי שתשיג אפקט מקסימלי. התקיפה הביאה לניתוק הקשרים הדיפלומטיים בין אלבניה ואיראן, אך לבסוף הביאה להגבלת הפעילות של מג'האדין ח'לק מאדמתה של אלבניה. ^[23]הפרסונה הציבורית "HomeLand Justice", שנמצאת גם היא תחת Storm-0842, נטלה את האחריות על התקיפה.^[24]

2. תקיפת הטכניון (2023):

בפברואר 2023 ביצעה קבוצת "MuddyWater" תקיפה הרסנית נגד מגזר האקדמיה בישראל, בין היתר נתקף הטכניון במתווה כופרה (Ransomware). לפי דו"ח האירוע של מערך הסייבר הלאומי של ישראל, כחלק מפעילות זו נפתח ערוץ הטלגרם "DarkBit",^[25] שלקח אחריות על התקיפה והעלה דרישת כופרה ע"ס 80 מטבעות ביטקוין (כ-6 מיליון ₪, נכון לכתיבת הדו"ח של מערך הסייבר).^[26] לאחר מכן פרסמה הפרסונה כי מחיר הכופר עולה, ולאחר יותר מחודש העמידה את המידע למכירה (לאחר שלא נענתה בידי הרשויות בישראל).^[27] התקיפה הביאה להשבתת מערכות המחשוב של הטכניון באופן יזום.^[28] אף על פי שתקיפת הטכניון בוצעה במתווה הדומה למתקפות סייבר פליליות של קבוצות כמו LockBit, סביר להניח שמטרתה לא הייתה קצירת רווחים כי אם פגיעה בישראל, שכן זהו דפוס פעולה איראני מוכר, כפי שאירע למשל בעת תקיפת חברת "שירביט".

השימוש האיראני בתקיפות סייבר נגד ישראל

קבוצת "Handala" מהווה דוגמה ייחודית לאמצעי התקפי איראני המופעל נגד ישראל, גם בתקופה שלאחר הפסקת האש. אף על פי שזהותה האיראנית של הפרסונה ידועה לכול, כמו גם שיוכה הארגוני וזהות הממונים עליה, היא עדיין אינה מזדהה כ"זרוע רשמית" של המשטר האיראני ושומרת על מרחב הכחשה. יתרה מכך, התקיפות שהפרסונה מבצעת גורמות בדרך כלל לנזק קל ולכן מאפשרות לישראל להכיל אותן.

זירת הסייבר שימשה עד המלחמה האחרונה כזירת לחימה חשאית בין ישראל ואיראן, אך תקיפות סייבר יצאו לפועל גם במהלך העימות הישיר בין שתי המדינות. ישנן ראיות רבות לכך שהאיראנים פיצלו את הלחימה נגד ישראל לזירות נפרדות, כולל את העימות בזירת הסייבר. תוקפים המשויכים ברמות שונות לשתי המדינות, ישראל ואיראן, ביצעו מתקפות משמעותיות נגד המדינה היריבה בשנים האחרונות. זאת במסגרת רחבה יותר של עימות "רשמי למחצה" בין שתי המדינות, שכלל הפעלת כוח הדדית (לעיתים דרך כוחות שלוחים), אך ללא נטילת אחריות רשמית. עם זאת, גם במלחמה ה"רשמית" בין שתי המדינות התבצעו תקיפות סייבר המיוחסות לשני הצדדים. "Handala" אף העלתה ב-22 באוגוסט 2025 פוסט בערוץ הטלגרם שלה המפרט את הפעולות שביצעה לכאורה במסגרת המלחמה בין ישראל לאיראן.

נראה שאיראן עדיין רואה בסייבר זירה נפרדת מהזירה הקינטית הרשמית, וכך היא מצדיקה באופן עקיף את המשך הפעלתנות שלה בסייבר נגד ישראל, על אף הפסקת האש. בהקשר הזה ראוי לציין כי מבחינת ההצהרות האיראניות, הלחימה מול ישראל ממשיכה; בולטת הצהרתו של ראש ארגון המודיעין של משמרות המהפכה, ב-7 באוגוסט 2025, כי "המלחמה טרם הסתיימה, אנו נמצאים בהפסקה זמנית, האויב מבצע מבצעי תודעה, לוחמת מידע ולוחמה פסיכולוגית, ותקוותו העיקרית היא ליצור משברים פנימיים".^[29] משמעות הצהרתו של ראש ארגון המודיעין, לצד הצהרות דומות מצד בכירים נוספים, אינה רק חוסר הכרה רשמי של טהרן בהפסקת האש, אלא מתן הצדקה להמשך הלחימה בפועל בין הצדדים, בדגש על זירת הסייבר המהווה שדה קרב מרכזי של לוחמת תודעה ולוחמת מידע.

עם זאת, ייתכן שהסייבר יהפוך בהמשך, בעיני האיראנים, לחלק אינטגרלי מזירת חילופי המהלומות הכללית. שכן הסייבר מהווה זירה משמעותית בעיני מקבלי ההחלטות האיראנים, ובתקשורת האיראנית כבר נשמעות אמירות המצביעות על הצורך להתייחס באופן אחוד גם לאיומים שמנה ראש ארגון המודיעין של משמרות המהפכה כאל חלק ממערך האיומים השלם המאיים על איראן.

בסיקור הקמתה של מועצת ההגנה העליונה (שהוקמה מחדש באיראן לאחר הפסקת האש עם ישראל) נכתב באתר "נור ניוז" (השייך למועצה העליונה לביטחון לאומי של איראן) ב-4 באוגוסט 2025 כי "הניסיון של שלושת העשורים האחרונים מראה כי בצמתים קריטיים, איראן זקוקה למבנים מיוחדים ודינמיים לניהול משברים… לכידות בקביעת מדיניות הגנה וביטחון מועילה הן לחיזוק ההרתעה והן להגדלת יכולות הדיפלומטיה של המדינה ברמה האזורית והבינלאומית. עם התרחבות המלחמות ההיברידיות ולחצים רב-ממדיים נגד איראן, לכידות כזו היא הכרח ולא בחירה טקטית".^[30]

יתרה מזאת, תקיפות סייבר עשויות להוות עבור איראן תחליף חלקי לאובדן יכולת צבאית לאחר המלחמה, כאמצעי לשיקום התדמית והלגיטימציה הפנימית, כפי שניתן לראות במקרה של הפריצה לחשבונותיהם של אנשי "איראן אינטרנשנל", ואף כלי פוטנציאלי ליצירת הרתעה חיצונית. המערך הצבאי של איראן נפגע קשות בלחימה מול ישראל, וטהרן נכשלה ביצירת תגובה אפקטיבית נגד ישראל; תקיפות סייבר עשויות לשמש אמצעי נוח עבור המשטר האיראני לגבות מחיר מישראל בסיכון נמוך יחסית מבחינתו, ובכך להחזיר למראית עין פנימית ואולי גם חיצונית "פסידו-מאזן" מול ישראל.

מאזן זה ישמש את טהרן בטווח הקצר לצרכים פנימיים – בעיקר לחיזוק הלגיטימציה, העוצמה ותחושת המסוגלות של המשטר בעיני הציבור (כפי שסביר להניח שהתכוון לעשות בתקיפת "איראן אינטרנשנל"); בשלב זה איראן צפויה לשמור על הפרדה בין הזירות כדי להעצים את חופש הפעולה הפוטנציאלי שלה. בשלב מתקדם יותר, במקביל לתהליך של איחוד בין זירת הסייבר לזירה הכללית, ייתכן שהסייבר ישמש גם ככלי ליצירת הרתעה חיצונית – אינדיקציה ברורה לכך תהיה עלייה בכמות התקיפות ו/או בחומרתן. בכל אחד מהתרחישים האלה, “Handala” משמשת ככלי מרכזי במימוש המדיניות האיראנית, והיא צפויה להמשיך לעשות כן, לפחות בטווח הזמן הקרוב.

סיכום

הפעלת "Handala" ממחישה את גישתו של המשטר למלחמה הבלתי סימטרית במרחב הסייבר: פגיעה נקודתית, הדהוד תודעתי ושימור מרחב הכחשה. בעידן שבו עוצמתה הצבאית של איראן נשחקה מול ישראל, מתקפות סייבר מספקות למשטר כלי זמין, גמיש ופחות מסוכן מבחינה אסטרטגית להמשך עימות מתמשך. עבור ישראל, המשמעות היא כי גם בתקופות של רגיעה ביטחונית יחסית, זירת הסייבר ממשיכה לשמש זירת לחימה פעילה, המחייבת שילוב בין יכולות הגנה טכנולוגיות, מענה הסברתי והרתעה אפקטיבית. הבנת מקומה של "Handala" בתוך מארג האיומים האיראניים חיונית לגיבוש אסטרטגיה כוללת, שתבטיח את חוסנה של ישראל הן בממד הדיגיטלי והן בממד התודעת

[1] https://cyberint.com/blog/threat-intelligence/handala-hack-what-we-know-about-the-rising-threat-actor

[2] https://namnak.com/hanzaleh-cyber-group.p107935

[3] "פרסונה" או "זהות" במקרה הזה היא דף ברשתות חברתיות/פורומים שונים בעל שם וסמל יחודיים, השייכים לכאורה לקבוצה של ההאקרים שמבצעים את מתקפות הסייבר, וכוללת בדרך כלל הכרזה או רמיזה בדבר המניעים לביצוע המתקפה (אידאולוגיים או כלכליים) ורמיזה לזהות המבצעים.

[4] https://www.microsoft.com/en-us/security/security-insider/threat-landscape/iran-surges-cyber-enabled-influence-operations-in-support-of-hamas

[5] https://www.gov.il/BlobFolder/reports/alert_1727/he/ALERT-CERT-IL-W-1727.pdf

[6] https://he.wikipedia.org/wiki/%D7%97%D7%A0%D7%93%D7%9C%D7%94

[7] https://www.ynet.co.il/news/article/hkipdfdwt

[8] https://www.gov.il/he/pages/alert_1691

[9] https://intezer.com/blog/stealth-wiper-israeli-infrastructure

[10]https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-brand/documents/5bc57431-a7a9-49ad-944d-b93b7d35d0fc.pdf

[11]https://www.microsoft.com/en-us/security/security-insider/threat-landscape/iran-surges-cyber-enabled-influence-operations-in-support-of-hamas

[12] https://www.dw.com//a-73202383

[13] https://www.iranintl.com/202508143905

[14] https://www.pc.co.il/news/426334

[15] https://www.ynet.co.il/digital/technews/article/hkz211m00cc

[16] https://www.kan.org.il/content/kan-news/local/852212

[17] https://www.israelhayom.co.il/tech/tech-news/article/15843626

[18] https://t.me/CyberSecurityIL/5210

[19] https://t.me/Handala_channal/110

[20] https://www.dw.com/fa-ir/a-73202383

[21] https://www.maariv.co.il/culture/article-1214484

[22] https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-264a

[23] https://albaniandailynews.com/news/pm-rama-mujahideen-must-leave-albania-if-they-want-to-fight-iran

[24] https://cyberscoop.com/iran-hack-albania-ransomware-mek

[25] לפי המידע הזמין ברשת, DarkBit אינה משויכת ל-MuddyWater, אם כי שתיהן מסונפות למשרד המודיעין. ייתכן שמדובר בשיתוף פעולה רוחבי שבמסגרתו ביצעה קבוצת MuddyWater את הפריצה ואילו קבוצת Banished Kitten (הידועה כקבוצה המפעילה את DarkBit) ביצעה את רכיב ההשפעה במבצע.

[26] https://www.gov.il/he/pages/_muddywater

[27] https://www.csoonline.com/article/574899/darkbit-puts-data-from-israel-s-technion-university-on-sale.html?utm_source=chatgpt.com

[28] https://www.calcalist.co.il/calcalistech/article/bkb9d78pj

[29] https://www.hamshahrionline.ir/news/969438

[30] https://vista.ir/n/nournews-cshpw

סדרת הפרסומים “ניירות עמדה” מטעם המכון מתפרסמת הודות לנדיבותה של משפחת גרג רוסהנדלר