המידע שנייר זה מבוסס עליו עדכני ל-21 במרץ 2026. הערכה רבה לדניאל הירשפלד על הסיוע במחקר המקיף לנייר זה.

מבוא: סייבר כמרחב לחימה אסימטרי בעימות ישראל-איראן

ב-19 במרץ 2026 הודיע ה-FBI על תפיסת ארבעה דומיינים ששימשו את פרסונת הסייבר האיראנית "Handala", המזוהה עם משרד המודיעין האיראני, לצורך ביצוע מתקפות סייבר, הפצת מידע גנוב וניהול קמפיינים תודעתיים.[1] הצעד האמריקאי ננקט בעקבות מתקפת סייבר הרסנית שיוחסה לקבוצה נגד חברת המכשור הרפואי האמריקאית Stryker, אשר גרמה לשיבושים נרחבים בפעילותה. לפי הרשויות בארה"ב, האתרים שימשו לא רק לפרסום אחריות על מתקפות אלא גם להפצת איומים, חשיפת מידע אישי וקריאות לאלימות – כחלק ממערך רחב של לוחמת מידע ותודעה שאיראן מפעילה במרחב הקיברנטי.[2] חשיפה זו של ה-FBI מקבלת משנה בתוקף במסגרת המלחמה של ישראל וארה"ב עם איראן שהחלה ב-28 בפברואר 2026, שהפרסונה משולבת בה כאמצעי אינטגרלי במערך האיראני.

קבוצת הסייבר "Handala" (במקור – حنظله, "חנדלה", על שם דמות הקומיקס שמייצגת את הפלסטינים) מציגה דפוס פעולה ייחודי של איראן במרחב הדיגיטלי: שימוש בפרסונות סייבר שאינן מוגדרות כזרוע רשמית של המשטר, אך פועלות מטעמו לשם פגיעה בישראל ובאופוזיציה האיראנית בגולה, לצד חיזוק הלגיטימציה הפנימית של המשטר. פעילות "Handala" מאז פרוץ מלחמת ישראל-חמאס באוקטובר 2023 המחישה כיצד טהרן עושה שימוש במתקפות סייבר לא רק כאמצעי לוחמה תודעתית ומבצעית, אלא גם ככלי להשגת הישגים בזירה האסימטרית מול ישראל.

פעילותה של Handala במהלך מבצע "שאגת הארי" מהווה המשך של מגמה זו, ובמסגרתה הפרסונה מתמצבת כאמצעי הסייבר ההתקפי המרכזי של איראן במלחמה וככלי חשוב במאמצי הליבה האיראניים. הפרסונה מעורבת בפעילות נגד האיומים המרכזיים על המשטר האיראני – ישראל, ארה"ב והאופוזיציה – ומציגה מתקפות נפרדות נגד כל אחד מהם.

נראה שאיראן מוותרת בהדרגה על מרחב ההכחשה שהפרסונה העניקה לה ופועלת למנף את חשיפתה הגבוהה עבור מתן הד תקשורתי ותודעתי למבצעים שהיא מבצעת. מדובר במגמה חדשה יחסית, שהחלה בשנה האחרונה.

נייר זה, בשילוב הנייר הקודם בסדרה,[3] בוחנים את גישתו של המשטר האיראני למרחב הסייבר כממד לחימה, ואת התפתחותה של גישה זו בהלימה לאתגרים שעומדים בפני המשטר. זאת באמצעות בחינת מקרה הבוחן של הפרסונה "Handala", המופעלת על ידי משרד המודיעין האיראני מאז שלהי 2023 ומהווה מאז, ככל הנראה, את אמצעי הסייבר ההתקפי החשוב ביותר שלו.

פרסונות סייבר ככלי מדינתי: בין הכחשה להפעלה ישירה

על אף הפסקת האש בין ישראל לאיראן לאחר מלחמת 12 הימים ביוני 2025, טהרן המשיכה לנסות לפגוע ביעדים ישראליים באמצעות תקיפות סייבר, פעילות מודיעינית וקמפיינים תודעתיים. אחד הכלים המרכזיים שבהם נעשה שימוש במסגרת זו הוא הפעלת קבוצות האקרים ופרסונות סייבר הפועלות לכאורה כגורמים עצמאיים, אך בפועל משרתות את האינטרסים של המשטר האיראני.

אחת הקבוצות הבולטות בהקשר זה היא קבוצת "Handala", קבוצה פרו-פלסטינית בעלת קשר איראני מעומעם שהציגה עצמה כקבוצת האקטיביסטים. אולם שינוי בדפוס הפעילות המוכר שלה, לצד חשיפות מודיעיניות וניתוחים של חברות אבטחת מידע, הצביעו על קשר הדוק בין הקבוצה לבין גורמים במנגנוני הביטחון של איראן, ובראשם משרד המודיעין האיראני.

הפרסונה פעילה לפחות מאז דצמבר 2023,[4] כחודשיים לאחר פרוץ המלחמה בין ישראל לבין חמאס. מאז הקמתה ביססה הקבוצה נוכחות ברשתות החברתיות ובראשן X וטלגרם, ששימשו אותה להפצת מסרים תודעתיים, לפרסום איומים ולהדלפת מידע שהושג לכאורה באמצעות מתקפות סייבר.

בתקופה שקדמה למלחמה הישירה בין ישראל לאיראן בקיץ 2025 הייתה "Handala" חלק ממארג רחב של פרסונות וזהויות סייבר[5] איראניות שפעלו נגד ישראל. לצד זאת, לאחר הפסקת האש התבססה הקבוצה בהדרגה כאחת הפרסונות המרכזיות במערך הסייבר האיראני נגד ישראל. מגמה זו התחזקה עוד יותר עם פרוץ המלחמה הישירה בין איראן לבין ישראל וארצות הברית ב-28 בפברואר 2026.

במהלך המלחמה בין ישראל וארצות הברית לאיראן במרץ 2026 יוחסו לקבוצה מתקפות סייבר נגד יעדים ישראליים שונים, ובהם מוסדות ציבור, חברות פרטיות ומאגרי מידע אזרחיים, לצד מתקפות נגד יעדים מערביים הנתפסים כתומכים בישראל. חלק מן הפעילות כלל חדירה למאגרי מידע והדלפתם ברשת, מתקפות השחתת אתרים וניסיונות לפגוע בתשתיות אזרחיות. במקביל המשיכה הקבוצה להפעיל קמפיינים תודעתיים ברשתות החברתיות, שנועדו להגביר את ההשפעה הפסיכולוגית של פעילותה.

מערך הסייבר ההתקפי של איראן

איראן מתחזקת מערך סייבר התקפי הכולל יחידות תקיפה מבצעיות, שחלקן מסונפות למשרד המודיעין האיראני וחלקן למשמרות המהפכה. יחידות אלו מבצעות מתקפות סייבר למטרות מגוונות – ריגול, השפעה, פגיעה ואף השמדה של נתונים – תוך שימוש במגוון פרסונות סייבר, קבוצות האקרים וכיסויים שונים שנועדו לטשטש את הקשר הישיר למשטר האיראני.[6]

רבות מן היחידות הללו נחשפו בשנים האחרונות על ידי מדינות מערביות, כלי תקשורת וחברות אבטחת מידע בינלאומיות, ובהן מיקרוסופט וחברות מודיעין סייבר נוספות, שהצביעו על הקשר הישיר בין הפרסונה, העצמאית לכאורה, לבין גורמי ממשל איראניים. כך למשל, תקיפת הסייבר נגד חברת הביטוח הישראלית "שירביט" בשנת 2020 בוצעה על ידי יחידה המזוהה עם משרד המודיעין האיראני, המכונה על ידי חוקרי סייבר "Pink Sandstorm" אך האחריות לתקיפה נלקחה על ידי פרסונת הסייבר "Black Shadow", שנועדה להרחיק את הקשר הישיר לטהרן.[7]

אם לסכם במילים פשוטות – בעוד שהאקרים מהיחידה האיראנית המכונה Pink Sandstorm ביצעו את התקיפה בפועל, הם "התחפשו" באופן פומבי לקבוצה בשם Black Shadow, שלכאורה אין קשר בינה לבין טהרן. הם עשו זאת באמצעות פתיחת ערוץ טלגרם ציבורי שבו הוכיחו כי תקפו את החברה (וכך משכו תשומת לב תקשורתית), בנוסף ניסחו סיפור כיסוי ועיצבו לוגו תואם שנועדו להגביר את התחושה כי מדובר בגוף עצמאי.

דפוס פעולה זה – שימוש בפרסונות סייבר ובקבוצות האקרים הפועלות לכאורה באופן עצמאי – הפך בשנים האחרונות למרכיב מרכזי באסטרטגיית הסייבר ההתקפית של איראן. במסגרת זו פועלות פרסונות שונות המנהלות קמפיינים של פריצה והדלפת מידע (hack-and-leak), מתקפות השחתת אתרים ופעולות לוחמה תודעתית ברשתות החברתיות. Handala מהווה כיום את הדוגמה הבולטת ביותר לדפוס הפעולה הזה.

התפתחות הפרסונה Handala: מפרוקסי "פלסטיני" לכלי איראני מובהק

שמה של הפרסונה נגזר מדמות הקומיקס הערבית "حنظلة" ("Handala") – סמל טעון בזהות הפלסטינית, המייצג את חוויית הפליטות והעוולות הנתפסות שנגרמו לעם הפלסטיני. בחירה זו אינה מקרית, והיא משקפת ניסיון מובהק לעגן את פעילות הקבוצה בנרטיב פוליטי-תודעתי אנטי-ישראלי, תוך יצירת הזדהות עם המאבק הפלסטיני.[8]

מאז השקתה בשלהי 2023 פעילותה של הפרסונה קשה למעקב שיטתי, בין היתר בשל סגירה חוזרת של חשבונותיה ברשתות X וטלגרם והקמת ערוצים חלופיים. עם זאת, אינדיקציות מוקדמות לפעילותה הופיעו כבר בדצמבר 2023: חברת Cyberint הצביעה[9] על פוסט מ-26 בדצמבר שבו הביעה תמיכה בחמאס והצהירה כי החלה לפעול נגד ישראל לאחר חיסולו של קצין משמרות המהפכה סיד רצ'א מוסוי בסוריה, בתקיפה המיוחסת לישראל.[10]

במקביל, מערך הסייבר הלאומי של ישראל פרסם אזהרה (25 בדצמבר 2023) מפני מתקפת Phishing שיוחסה לקבוצת תקיפה איראנית, במסגרתה נעשה שימוש בקובץ זדוני בשם "handala.exe", תוך התחזות לחברת F5.[11] אף שהפרסונה לא יוחסה במפורש לאירוע, השימוש בשם ובמאפייני הפעולה מצביע על זיקה אפשרית לפעילותה בראשית דרכה. הפרסונה עצמה פרסמה באותה תקופה מסרים לגלגניים כלפי מערך הסייבר הישראלי ואף התריעה מראש על כוונות תקיפה[12], תוך שימוש בתיוג "F5".

בשלבי פעילותה הראשוניים נראה כי Handala מיצבה את עצמה כחלק אינטגרלי מ"חזית ההתנגדות", תוך הדגשת הזיקה למאבק הפלסטיני על פני שיוך ישיר לאיראן. זאת, על רקע מדיניות איראנית שבאותה עת לא התמקדה בהכרח בתקיפות ישירות נגד ישראל, לפחות עד חיסולו של בכיר כוח קודס מוחמד רצ'א זאהדי באפריל 2024.

עם זאת, במהלך שנת 2024 התגבשה תמונה ברורה יותר באשר לשיוכה הארגוני: דו"חות שונים ייחסו את הפרסונה לקבוצת התקיפה Storm-0842,[13] הפועלת תחת משרד המודיעין האיראני ואחראית גם לפרסונות נוספות[14] כגון "DarkBit" ו-"Homeland Justice", ששימשו בשנים האחרונות למבצעי השפעה ותקיפות הרסניות בזירה הבינלאומית.

לאורך הזמן, ובייחוד לאחר העימות הישיר בין ישראל לאיראן בקיץ 2025, ניכרת מגמה של זיקה מובהקת יותר בין פעילות הקבוצה לבין האינטרסים של המשטר האיראני. שינוי זה העיד על מעבר הדרגתי מפרסונת פרוקסי בעלת זהות "פלסטינית" לכאורה לכלי הפעלה ישיר יותר של איראן. בהמשך יוצג כיצד פעילותה של הפרסונה במהלך מבצע "שאגת הארי" מספקת עדויות לכך שמגמה זו ממשיכה.

מבחינה אופרטיבית, Handala מתמקדת בתקיפות נגד יעדים ישראליים מגוונים – חברות פרטיות, גופים ממשלתיים ומוסדות ציבור. פעילותה כוללת גנבת מידע, השחתת אתרים ולעיתים גם פעולות השפעה. בין הדוגמאות הבולטות מפעילותה המוקדמת: הדלפת הפרטים של בעלי רישיון נשק בישראל (פברואר 2025),[15] וטענות לפריצה לשרתים הקשורים למתקן הגרעיני בנחל שורק (ספטמבר 2024).[16]

הקבוצה עושה שימוש בגישה לרשתות גם לצורך השפעה תודעתית. כך למשל, בינואר 2025 חדרה למערכות חברת "מאגר-טק" והשמיעה דרך מערכות כריזה אזעקות ומסרים בערבית,[17] וביוני 2024 נשלחו הודעות מאיימות דרך מערכת מועצה אזורית מעלה יוסף בצפון ישראל,[18] תקיפה שיוחסה לחדירה[19] לחברת My City.

יש לציין כי הקבוצה נוטה לעיתים להפריז בהיקף הישגיה, ואף ליטול אחריות על תקיפות שלא ניתן לאמתן. עם זאת, במקרים רבים היא כן מציגה ראיות מסוימות לחדירה, דבר התורם לאמינותה היחסית וליכולת ההשפעה שלה.

דפוס הפעולה: Low-Tech, High-Impact כאסטרטגיה

פעילותה של Handala משתלבת במסגרת רחבה יותר של מערך סייבר התקפי איראני, ובפרט יחידות הפועלות תחת משרד המודיעין ומתמחות בתקיפות הרסניות למטרות השפעה. במסגרת זו ניתן לציין כמה מבצעים בולטים:

התקיפה נגד אלבניה (2022), שבוצעה בתגובה לאירוח ארגון האופוזיציה מג'האדין ח'לק, וכללה חדירה ממושכת לרשתות ממשלתיות, הדלפת מידע ומחיקתו – מהלך שהוביל לניתוק היחסים הדיפלומטיים בין המדינות.[20]

תקיפת הטכניון (2023), שבוצעה במתווה כופרה תחת הפרסונה "DarkBit", אך ככל הנראה נועדה בראש ובראשונה לפגוע בישראל ולא להשיג רווח כלכלי.[21]

בהקשר הרחב יותר, זירת הסייבר היוותה עבור איראן מרחב פעולה מרכזי בעימות המתמשך עם ישראל. לאורך השנים התנהל בין הצדדים עימות "מתחת לסף המלחמה", הכולל שימוש בכוחות שלוחים ובפרסונות להכחשה. עם זאת, גם במהלך העימות הישיר בין המדינות, זירת הסייבר ממשיכה לשמש כמרחב פעולה נפרד יחסית, המאפשר גמישות והכחשה.

בתוך כך, הסייבר עשוי לשמש גם ככלי לפיצוי על פגיעה ביכולות הצבאיות של איראן בעקבות הלחימה, וכן כאמצעי לשיקום תדמית פנימית והקרנת עוצמה כלפי חוץ. במובן זה, פעילות קבוצות כגון Handala מאפשרת לאיראן לייצר אפקט הרתעתי ותודעתי בעלות נמוכה יחסית ובסיכון מוגבל, תוך שמירה על מרחב הכחשה.

כלים וטקטיקות

מחקר של חברת Check Point מה-12 במרץ 2026 מספק תובנות לגבי שיטות הפעולה של פרסונת הסייבר ההתקפי המרכזית של איראן, Handala. מן הממצאים עולה כי הפרסונה פועלת בשיטות פעולה פשוטות יחסית, המתמקדות בהשגת הישגים מהירים ומזדמנים. החוקרים מציינים כי הפורצים עושים שימוש בפרטי התחברות גנובים (credential harvesting), לצד הפעלת תוכנות מחיקה ייעודיות (Wipers), וכן ביצוע פעולות השחתה ידניות ברשתות שאליהן הצליחו לחדור.[22]

דפוס פעולה זה מאפיין במידה רבה גם שחקני סייבר התקפי איראניים בזירות נוספות. בפרט, הוא בולט בפעילות המכוונת נגד מדינות בעלות תשתיות סייבר מתקדמות ומערכי הגנה מפותחים – כגון ישראל וארצות הברית. במקרים אלו, נראה כי השחקנים האיראניים מעדיפים לנצל חלונות הזדמנות של גישה זמנית ולהפעיל כלים זמינים ופשוטים יחסית, במקום לפתח יכולות תקיפה מורכבות הדורשות משאבים, זמן פיתוח ממושך ורמת חשיפה גבוהה יותר.

מאפיין זה תואם את הדפוס הרחב של פעילות פרוקסי איראנית במרחב הסייבר: העדפת אפקט תודעתי ומהירות ביצוע על פני תחכום טכנולוגי, תוך הסתמכות על חולשות אנושיות, כשלים ארגוניים וניהול זהויות והרשאות.

מבצע "שאגת הארי": האצה, חשיפה ושחיקת מרחב ההכחשה

החל מיומה הראשון של המלחמה הודיעה פרסונת Handala כי תחל במתקפות סייבר, ואף טענה כי תקפה יעדים במדינת ירדן.[23] בימים שלאחר מכן המשיכה Handala לטעון לביצוע מתקפות במדינות שונות, כאשר יעדים במדינת ישראל היוו את מוקד פעילותה המרכזי.

היקף הטענות, לצד קצב הפרסום הגבוה, משקפים דפוס פעולה מוכר של הקבוצה: שילוב בין פעילות סייבר בפועל לבין לוחמה תודעתית המבוססת על ריבוי טענות תקיפה, שחלקן אינן ניתנות לאימות ולעיתים אף אינן מבוססות.

מקרה מבחן: התקיפה על INSS והיגיון האפקט התודעתי

התקיפה המשמעותית ביותר בישראל שהקבוצה ייחסה לעצמה הייתה, ככל הנראה, חדירה לשרתי המכון למחקרי ביטחון לאומי (INSS) באוניברסיטת תל אביב. לטענת Handala נגנב מידע רב משרתי המכון, ואף נפרץ לפחות חשבון מדיה חברתית אחד של המכון.[24]

בהמשך להודעת הפריצה טענה הקבוצה כי גנבה תכתובות דוא"ל של דמויות בכירות המקושרות למכון, ביניהן:

• רז צימט – מנהל תוכנית איראן והציר השיעי במכון, ולשעבר בכיר באמ"ן. הפורצים טענו כי השיגו תכתובות המעידות לכאורה על קשרים עם רצ'א פ'הלוי ועם גורמים איראניים, ואף הציגו מסמכים ותכתובות כראיות.[25]
  
• תמיר היימן – ראש אמ"ן לשעבר וראש המכון כיום. הקבוצה פרסמה צילומי מסך של תכתובות ומסמכים רשמיים, וטענה להשגת מידע נרחב. [26]
  
• לורה גילינסקי – סגנית ראש המכון לשותפויות אסטרטגיות. הקבוצה טענה לגישה לכ-100,000 הודעות דוא"ל, תוך הדגשת עברה הנטען במוסד.[27]
  
• אילן שטיינר – סגן ראש המכון לכספים, מוצג כמי ששירת בתפקיד דומה גם במוסד. הקבוצה טענה כי השיגה כ-50,000 הודעות דוא"ל שלו, המכילים מידע סודי, כולל על פעילויות המוסד.[28]

הקשר בין הפריצה לשרתי המכון לבין גנבת תכתובות הדוא"ל לא הובהר במלואו. עם זאת, הדמיון בפורמט התכתובות שפורסמו מצביע על אפשרות כי המידע הושג באמצעות גישה למערכת הדוא"ל הארגונית של המכון, ולאו דווקא באמצעות חדירה ישירה למכשירים האישיים של הנפגעים.

בחירת היעדים – דמויות בכירות העוסקות באיראן – אינה מקרית, ומשקפת ניסיון לייצר אפקט תודעתי ומודיעיני כאחד. במסגרת פרסום הפריצה הדגישה Handala כי ברשותה מידע "אסטרטגי וסודי" בעל השלכות מבצעיות. מסר זה נועד, ככל הנראה, להתמודד עם נחיתותה המודיעינית של איראן מול ישראל, כפי שבאה לידי ביטוי במבצעים הצבאיים האחרונים.

תקיפות נוספות בישראל

מעבר לתקיפה נגד שרתי INSS, Handala טענה לשורה של מתקפות נוספות, בהן:

פריצת השחתה וגנבת מידע משרתי חברת המים "הגיחון";[29] פריצה למאגרי מידע של חסידות צאנז;[30] השחתת אתר האקדמיה ללשון העברית.[31]

כמו כן פרסמה הפרסונה טענות למתקפות נוספות שביצעה. יצוין כי המידע התומך בכך שמתקפות אלה בוצעו באופן שבו טענה הפרסונה אינו חד-משמעי:

• חשיפת פרטיהם של משרתים כביכול בחיל האוויר – הקבוצה טענה כי השיגה פרטים מלאים כביכול של 50 טייסים ישראלים שמעורבים בהפצצות באיראן.[32] בדיקה של חוקר הסייבר ארז דסה חשפה כי מדובר במידע ישן שנגנב מאתר לחיפוש עבודה, וכי לא מדובר בהכרח בטייסים.[33]
  
  
• תקיפת שרתי האוניברסיטה העברית – הפרסונה טענה כי הגיעה למידע של "מאות אלפי" סטודנטים ומרצים באוניברסיטה. בנוסף טענה כי גנבה ומחקה מידע בנפח של עשרות טרה ביט. הקבוצה מסגרה את התקיפה כחלק מהמלחמה בין ישראל ואיראן.[34]
  
  
• פריצה ל"חשבונות דובר צה"ל בפרסית" – הקבוצה פרסמה כי פרצה לחשבונות המדוברים וכי השיגה מידע שכולל פרטי חשבונות ופרטי קשר של "מרגלים בציר ההתנגדות".[35] הראיות שהציגה הקבוצה מרמזות שאולי פרצה למכשיר טלפון כלשהו, אם כי לא ניתן לאשש זאת בוודאות. בדיווח ישראלי על התקרית עולה כי הפריצה התרחשה לפני חצי שנה, וכי מדובר בשני מכשירים.[36]

יודגש כי חלק ניכר מהטענות הללו לא אומת באופן עצמאי, ובחלק מהמקרים ייתכן כי מדובר בשימוש במידע ממוחזר או בטענות שווא. דפוס זה תואם את אסטרטגיית הפעולה של הקבוצה, המשלבת בין פעילות סייבר ממשית לבין העצמה תודעתית של הישגים – ולעיתים אף יצירת הישגים מדומים.

הרחבת שדה הקרב: תקיפות נגד ארה”ב ויעדים גלובליים

Handala טענה לביצוע מתקפת סייבר רחבת היקף נגד חברת המכשור הרפואי האמריקאית Stryker. לפי פרסומי הקבוצה, נמחק מידע מיותר מ-200,000 מערכות, שרתים וטלפונים של החברה, הפועלת בעשרות מדינות. הקבוצה הציגה את המתקפה כתגובה לפגיעה בבית ספר לבנות בעיר מינאב באיראן, וטענה כי מדובר בפעולת נקמה על מות אזרחים איראנים. החברה עצמה אישרה כי חוותה אירוע סייבר שגרם לשיבושים. דיווחים שונים הצביעו על כך שהחדירה התבצעה דרך יישומי ניהול מבוססי Microsoft. עובדים התבקשו להסיר אפליקציות חשודות, ודווח כי גם מכשירים ניידים שחוברו למערכת Outlook הארגונית הושפעו. בנוסף, אלפי עובדים הונחו שלא להגיע לעבודה בעקבות האירוע.[37]

לפי הערכה של חברת Coalition, המתקפה המדוברת התבססה על גנבת פרטי התחברות לממשקי ניהול, שאפשרה לתוקפים לבצע מחיקה רחבת היקף באמצעות כלים פנימיים של הארגון – ולא בהכרח באמצעות תוכנת מחיקה זדונית ייעודית.[38] גנבת פרטי ההתחברות יכולה הייתה להתבצע באמצעות כמה שיטות מוכרות, ובהן מתקפות Spear Phishing, רכישת פרטי גישה בשוקי Darknet, שימוש בסיסמאות חלשות או מתקפות ניחוש.

אירוע זה ממחיש היטב את דפוס הפעולה של Handala: ניצול גישה לגיטימית למערכות כדי לייצר אפקט הרס משמעותי, תוך השקעה מינימלית יחסית בפיתוח יכולות תקיפה מתקדמות.

בעקבות תקיפה זו של החברה האמריקאית הודיע ה-FBI ב-19 במרץ 2026 על תפיסת ארבעה דומיינים ששימשו את הפרסונה "Handala". תפיסת הדומיינים על ידי ארה"ב משקפת מעבר מגישה הגנתית-תגובתית להתמודדות אקטיבית עם תשתיות הסייבר של מדינות יריבות. במקרה זה, לא מדובר רק בניסיון לשבש פעילות טכנית של קבוצת האקרים, אלא בפגיעה ישירה בתשתית התודעתית של הפרסונה – כלומר ביכולת שלה לפרסם הישגים, להפיץ מידע גנוב ולבצע איומים ו-Doxing (פרסום מכוון של מידע אישי או רגיש על אדם או ארגון, לרוב ללא הסכמתם, במטרה לפגוע בהם, להפעיל עליהם לחץ, לאיים או לחשוף את זהותם). לפי מסמכי ה-FBI, הדומיינים שימשו חלק ממערך מתואם של "מבצעי השפעה" שכלל גם קריאות לפגיעה בעיתונאים, מתנגדי משטר ואף אזרחים המזוהים עם ישראל.[39]

מן הפרסומים האחרונים עולה כי פעילותה של הנדלה אינה מוגבלת עוד להדלפות מידע או השחתת אתרים, אלא כוללת גם רכיבים של הסתה ישירה לאלימות והפעלת לחץ אישי על יעדים. לפי ממצאי הרשויות בארה"ב, הדומיינים שנתפסו שימשו לפרסום פרטים אישיים של כ־190 אנשים הקשורים למערכת הביטחון הישראלית, לצד איומים מפורשים וקריאות לפגיעה בהם. בנוסף, דווח כי הקבוצה שילבה במסריה גם טקטיקות הפחדה, לרבות איומים על אזרחים אמריקאים וניסיון ליצור רושם של קשרים עם גורמי פשיעה בינלאומיים. ממצאים אלה מצביעים על התרחבות פעילותה של הנדלה ממבצעי סייבר "קלאסיים" למודל משולב של תקיפה, השפעה והרתעה אישית.[40]

עם זאת, תגובת הנגד של הקבוצה – שחזרה לפעול תוך זמן קצר באמצעות דומיינים חלופיים[41] – מדגישה את מגבלות האפקטיביות של צעדים מסוג זה מול שחקנים מדינתיים או פרוקסי. מומחים מציינים כי קבוצות איראניות מסוג זה מורגלות באובדן תשתיות דיגיטליות ובנייה מהירה של חלופות, כך שההשפעה בפועל היא לרוב זמנית בלבד. במובן זה, הצעד האמריקאי הוא בעל ערך בעיקר ברמה ההצהרתית והמשפטית – כקביעת ייחוס (attribution) רשמי והפעלת לחץ – אך פחות ככלי לבלימת הפעילות עצמה לאורך זמן.[42]

סייבר ככלי דיכוי פנימי: תקיפות נגד האופוזיציה האיראנית

במהלך מבצע "שאגת הארי" הודיעה הפרסונה על חשיפת מפעיל הערוץ הפופולרי Vahid Online, וכן על חשיפת פרטי העוקבים של הערוץ.[43] מדובר בערוץ בשפה הפרסית המפעיל בין היתר ערוץ טלגרם ובו מועלים עדכונים רבים על הנעשה באיראן בכלל, ובזמן מלחמות בפרט. פעמים רבות עולים בערוץ תיעודים בעייתיים מבחינת המשטר האיראני, כמו תיעודים של תקיפות ישראליות וכן תיעודים מההפגנות הקשות בינואר 2026. Handala הודיעה כי חשפה את זהותו של מפעיל הערוץ, את המיקום שממנו הוא פועל וכן את זהותם של איראנים ששלחו לו תיעודים.

דבר החשיפה התפרסם בכלי התקשורת הממסדיים באיראן. בדיווח של סוכנות הידיעות "תסנים" דווח כי חשיפת הקבוצה הביאה מודיעין לפעילות מבצעית – ירי טילים על המיקום שהערוץ פועל ממנו (בישראל, לפי הדיווח) וכן מעצר של איראנים ששלחו לו חומרים ועברו בכך על החוק באיראן.[44] עצם ההצהרה שהקבוצה סיפקה מודיעין שהכווין פעילות איראנית מהווה הלכה למעשה הודאה פומבית בשיוכה של הפרסונה.

לא מדובר בפעם הראשונה שבה פרסונה פועלת נגד פעילי אופוזיציה: בקיץ 2025 פרצה לחשבונות טלגרם של אנשי ערוץ האופוזיציה "Iran International" בלונדון ופרסמה מידע אישי נרחב על אודותיהם.[45] פעולה זו נועדה ככל הנראה לחזק את תדמית המשטר בזירה הפנימית, באמצעות פגיעה בגורם תקשורתי המזוהה עם אופוזיציה איראנית ובעל השפעה על דעת הקהל במדינה. בהקשר זה, נחשף גם כי אחד מפעיליה המרכזיים של Handala מקיים קשרים עם משטרת הסייבר האיראנית (FATA).[46]

ניתוח מכלול פעילותה של Handala במהלך המלחמה מצביע על דפוס פעולה עקבי הנשען על אסטרטגיה של "low-tech, high-impact": שימוש בכלים פשוטים יחסית, גישה מבוססת הזדמנויות – במטרה להשיג אפקט תודעתי ומערכתי רחב. בניגוד לתפיסות הרואות בתחכום טכנולוגי תנאי מרכזי לאפקטיביות במרחב הסייבר, המקרה של Handala מדגים כי גם יכולות מוגבלות יחסית עשויות לייצר השפעה משמעותית כאשר הן משולבות בקמפיין תודעתי אגרסיבי ובהצגת הישגים – אמיתיים או מדומים. דפוס זה משתלב באסטרטגיית הלחימה האסימטרית של איראן, ומדגיש כי עוצמה במרחב הקיברנטי נמדדת לא רק ביכולות טכנולוגיות, אלא גם ביכולת לעצב תפיסה, לייצר הרתעה ולערער את תחושת הביטחון של היריב.

מסקנות: עוצמה קיברנטית כנגזרת של השפעה, לא של יכולת טכנולוגית

ניתוח דפוס פעילותה של Handala מצביע על כך שאין מדובר בשחקן סייבר מתקדם במובן הטכנולוגי הקלאסי, אלא ביחידה הפועלת במסגרת אסטרטגיה איראנית רחבה יותר הנשענת על שילוב בין פעילות סייבר מבצעית לבין לוחמה תודעתית. על אף היעדר "יכולות משנות משחק", פעילותה מדגישה מאפיינים מרכזיים בעלי משמעות אסטרטגית, בייחוד בהקשר של העימות עם ארצות הברית וישראל.

מתקפות נגד ארצות הברית – היגיון גביית המחיר

פעילות Handala נגד יעדים אמריקאים ממחישה את תפקידו של הסייבר ככלי המאפשר לאיראן לגבות מחיר ישיר מארצות הברית גם מחוץ לזירה הגאוגרפית המיידית של העימות. באמצעות תקיפות נגד חברות אזרחיות ותשתיות שאינן בהכרח צבאיות, איראן מצליחה להרחיב את שדה הלחימה ולייצר פגיעה באינטרסים אמריקאים בעלות נמוכה יחסית ובסיכון הסלמה מוגבל.

המקרה של התקיפה נגד חברת Stryker מדגים היטב דפוס זה: שימוש בגישה מבוססת credential harvesting ובכלים פנימיים של הארגון אִפשר יצירת אפקט שיבוש רחב היקף ללא צורך ביכולות תקיפה מתקדמות. בכך, Handala ממחישה את יכולתה של איראן להפעיל כוח סייבר התקפי גם במהלך עימות צבאי פעיל – ואף במקביל לפגיעה ביכולותיה הקינטיות או במערכי הסייבר שלה עצמה – תוך שמירה על רציפות תפקודית בזירה הקיברנטית.

נגד ישראל – היגיון הלוחמה הפסיכולוגית והשלמת הפערים

מול ישראל, פעילות הסייבר של Handala משתלבת במערכה רחבה הכוללת גם שימוש באמצעים קינטיים, ובראשם ירי טילים. בהקשר זה, הסייבר אינו מהווה חלופה אלא רכיב משלים, אשר תפקידו המרכזי הוא תודעתי: ערעור תחושת הביטחון, יצירת תחושת חדירות, והצגת הישגים – אמיתיים או מדומים – בזירה הציבורית.

פעולות כגון הדלפות מידע, פריצות למערכות אזרחיות והפצת מסרים מאיימים נועדו לא רק להשיג תועלת מבצעית, אלא גם לצמצם את הפער הנתפס בין יכולות ישראל לאיראן. במובן זה, פעילות Handala עשויה לשקף מאמץ איראני רחב יותר לעצב נרטיב של "איזון כוחות", הן כלפי הקהל הפנימי באיראן והן כלפי הציבור בישראל, ולבסס תפיסה של עימות מתמשך שבו לאיראן יכולת עמידה והשפעה.

נגד האופוזיציה האיראנית – שיבוש פעילות וצמצום השפעה

נפח משמעותי מה"קשרים הבעייתיים" לשיטת המשטר בין גורמים חיצוניים באיראן לבין אזרחים בתוך המדינה מתבצע באמצעות הרשת – כך שפעילות סייבר בהקשר הזה עשויה להיות אפקטיבית מאוד. המתקפות נגד ערוצי האופוזיציה נועדו בראש ובראשונה לשבש את פעילותם וכן מיועדת לקעקע את אמינותם באמצעות חשיפת פרטים מביכים/חסויים עליהם. במקרה של Vahid Online מילאה החשיפה גם תפקיד פנימי מרתיע – בדמות אזהרת המעצר של אזרחים ששלחו סרטונים לערוץ. גם אם מעצרים אלה לא התקיימו בפועל – הם עשויים לייצר הרתעה משמעותית משיתוף תיעודים עם ערוצים חיצוניים בעתיד.

בסיכומו של דבר, פעילות Handala ממחישה כי תרומת הסייבר לאסטרטגיה האיראנית אינה נובעת בהכרח מתחכום טכנולוגי, אלא מהיכולת לשלב בין תקיפות ממוקדות, ניצול חולשות מערכתיות, והעצמה תודעתית שיטתית. דפוס זה מחזק את ההבנה כי במרחב הקיברנטי, אפקטיביות נמדדת לא רק בהיקף הנזק הישיר, אלא גם ביכולת לעצב תפיסה, לייצר הרתעה ולהשפיע על דינמיקת העימות הכוללת.

[1] "Justice Department Disrupts Iranian Cyber Enabled Psychological Operations", The US Department of Justice, March 19, 2026.
https://www.justice.gov/opa/pr/justice-department-disrupts-iranian-cyber-enabled-psychological-operations
[2] "FBI update on Iran-linked hackers who brought down machines of America's largest medical device company Stryker; says: Iran thought they could hide behind…", Times of India, March 20, 2026.
https://timesofindia.indiatimes.com/technology/tech-news/fbi-update-on-iran-linked-hackers-who-brought-down-machines-of-americas-largest-medical-device-company-stryker-says-iran-thought-they-could-hide-behind-/articleshow/129695549.cms?utm_source=chatgpt.com
[3] "הסייבר כהמשך המלחמה באמצעים אחרים: פעילות 'Handala' האיראנית", מכון ירושלים לאסטרטגיה ולביטחון, 28 באוגוסט 2026. https://jiss.org.il/davidi-cyber-as-the-continuation-of-war-by-other-means
[4] "Handala Hack: What We Know About the Rising Threat Actor", Cyberint, July 16, 2024. https://cyberint.com/blog/threat-intelligence/handala-hack-what-we-know-about-the-rising-threat-actor
[5] "פרסונה", או "זהות" במקרה הזה, היא דף ברשתות חברתיות / פורומים שונים בעל שם וסמל יחודיים, השייכים לכאורה לקבוצה של האקרים שמבצעים את מתקפות הסייבר, וכוללת בדרך כלל הכרזה או רמיזה בדבר המניעים לביצוע המתקפה (אידאולוגיים או כלכליים), ורמיזה לזהות המבצעים.
[6] "Iran surges cyber-enabled influence operations in support of Hamas", Microsoft, February 26, 2026. https://www.microsoft.com/en-us/security/security-insider/threat-landscape/iran-surges-cyber-enabled-influence-operations-in-support-of-hamas
[7] "קבוצת התקיפה האיראנית Shadow Black", אתר מערך הסייבר הלאומי, 9 באפריל 2024. https://www.gov.il/BlobFolder/reports/alert_1727/he/ALERT-CERT-IL-W-1727.pdf
[8] "הנדלה", ויקיפדיה, נצפה לאחרונה: 19 במרץ 2026. https://he.wikipedia.org/wiki/%D7%97%D7%A0%D7%93%D7%9C%D7%94
[9] "Handala Hack: What We Know About the Rising Threat Actor", Cyberint, July 16, 2024. https://cyberint.com/blog/threat-intelligence/handala-hack-what-we-know-about-the-rising-threat-actor
[10] "איראן: מפקד בכיר במשמרות המהפכה נהרג בתקיפה ישראלית בסוריה", אתר החדשות Ynet, 25 בדצמבר 2023. https://www.ynet.co.il/news/article/hkipdfdwt#google_vignette
[11] "התרעה דחופה: קבוצת תקיפה איראנית מימשה קמפיין דיוג ממוקד המתחזה לחברת F5", אתר מערך הסייבר הלאומי, 25 בדצמבר 2023. https://www.gov.il/he/pages/alert_1691
[12] "Operation HamsaUpdate: A Sophisticated Campaign Delivering Wipers Puts Israeli Infrastructure at Risk", Intezer, December 20, 2023. https://intezer.com/blog/stealth-wiper-israeli-infrastructure
[13] "Iran steps into US election 2024 with cyber-enabled influence operations", Microsoft, August 9, 2024. https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-brand/documents/5bc57431-a7a9-49ad-944d-b93b7d35d0fc.pdf
[14] "Iran surges cyber-enabled influence operations in support of Hamas", Microsoft, February 26, 2024. https://www.microsoft.com/en-us/security/security-insider/threat-landscape/iran-surges-cyber-enabled-influence-operations-in-support-of-hamas
[15] "דליפת מידע חשפה פרטי אלפי בעלי נשק בישראל", אתר "אנשים ומחשבים", 9 במרץ 2025. https://www.pc.co.il/news/426334
[16] "דיווח: האקרים איראנים טוענים שפרצו למרכז מחקר גרעיני בישראל", אתר החדשות Ynet, 30 בספטמבר 2024. https://www.ynet.co.il/digital/technews/article/hkz211m00cc
[17] "האקרים מאיראן פרצו לכריזה בגני ילדים והשמיעו 'צבע אדום' ", אתר החדשות כאן 11, 26 בינואר 2025. https://www.kan.org.il/content/kan-news/local/852212
[18] "לאחר האש בצפון: הודעה חריגה הופצה באפליקציה של מועצת מעלה יוסף", אתר החדשות ישראל היום, 1 ביוני 2024. https://www.israelhayom.co.il/tech/tech-news/article/15843626
[19] "עדכון: קבוצת Handala לוקחת אחריות על הפצת ההודעות לאזרחים וטוענת כי היא פרצה למערכת של חברת My City ודרכה הפיצה כחצי מיליון הודעות…" (פוסט מעמוד הטלגרם של חדשות סייבר – ארז דסה), טלגרם, 3 ביוני 2024. https://t.me/CyberSecurityIL/5210
[20] "Albania cuts Iran ties over cyberattack, U.S. vows further action", Reuters, September 7, 2022. https://www.reuters.com/world/albania-cuts-iran-ties-orders-diplomats-go-after-cyber-attack-pm-says-2022-09-07
[21] "חקירת מערך הסייבר הלאומי אודות פעילות קבוצת MuddyWater בישראל", אתר מערך הסייבר הלאומי, 9 במרץ 2023. https://www.gov.il/he/pages/_muddywater
[22] " 'Handala Hack' – Unveiling Group’s Modus Operandi", Check Point, March 12, 2026. https://research.checkpoint.com/2026/handala-hack-unveiling-groups-modus-operandi
[23] "Cyber Advisory: Increased Cyber Risk Amid U.S.–Israel–Iran Escalation", Sophos X-Ops, March 1, 2026. https://www.sophos.com/en-us/blog/cyber-advisory-increased-cyber-risk-amid-u-s-israel-iran-escalation
[24] "קבוצת הנדלה טוענת כי פרצה למכון למחקרי ביטחון לאומי…" (פוסט של "חדשות סייבר – ארז דסה" בטלגרם), טלגרם, 3 במרץ 2026. https://t.me/CyberSecurityIL/8560
[25] "נגישותה של הנדלה למסמכים של פרויקטים ישראליים משותפים עם רצ'א פ'הלוי" (המקור בפרסית – دسترسی حنظله به اسناد پروژه‌های مشترک اسرائیل با رضا پهلوی, פוסט בעמוד ה-X של סכונות הידיעות "פארס ניוז"), X, 13 במרץ 2026. https://x.com/FarsNews_Agency/status/2032430961699271060
[26] "הנדלה פרצה לראש אמ"ן לשעבר" (המקור בפרסית – حنظله سراغ رئیس سابق آمان رفت, פוסט בעמוד ה-X של סכונות הידיעות "פארס ניוז"), X, 14 במרץ 2026. https://x.com/FarsNews_Agency/status/2032696868539342849
[27] "נחשפו מסמכים סודיים של אשת המודיעין החשובה ביותר במוסד" (המקור בפרסית – اسناد محرمانه حیاتی‌ترین چهره‌ اطلاعاتی موساد فاش شد), סוכנות הידיעות "פארס ניוז", 15 במרץ 2026. https://farsnews.ir/miladmaniee/1773567507970306944
[28] "הנדלה: נחשף האוצר הסודי של המוסד" (המקור בפרסית – حنظله: گنجینه مخفی موساد افشا شد, מתוך עמוד הטלגרם של סוכנות הידיעות תסנים), טלגרם, 17 במרץ 2026. https://t.me/Tasnimnews/397632
[29] "קבוצת הנדלה טוענת כי פרצה לחברת 'הגיחון' (חברת הביוב והמים של אזור ירושלים)…" (פוסט של "חדשות סייבר – ארז דסה" בטלגרם), טלגרם, 7 במרץ 2026. https://t.me/CyberSecurityIL/8577
[30] "קבוצת הנדלה טוענת כי פרצה למאגרי מידע של הקהילה החסידית 'צאנז'…" (פוסט של "חדשות סייבר – ארז דסה" בטלגרם), טלגרם, 6 במרץ 2026. https://t.me/CyberSecurityIL/8573
[31] "האקרים איראנים פרצו לאתר הפופולרי: 'אין צורך ללמוד עברית יותר' ", מעריב, 11 במרץ 2026. https://www.maariv.co.il/economy/tech/article-1294745
[32] "הנדלה חושפת מידע על 50 טייסים ישראליים" (המקור בפרסית – افشای اطلاعات ۵۰ خلبان اسرائیل توسط حنظله, פוסט בעמוד ה-X של סוכנות הידיעות פארס ניוז), X, 10 במרץ 2026. https://x.com/FarsNews_Agency/status/2031246808458944575
[33] "קבוצת הנדלה מפרסמת מידע השייך כביכול ל-50 חיילים המשרתים בחיל האוויר, בפועל מדובר במידע ישן…" (פוסט בעמוד הטלגרם של חדשות סייבר – ארז דסה), טלגרם, 10 במרץ 2026. https://t.me/CyberSecurityIL/8589
[34] "הנדלה פרצה לנתונים של מאות אלפי סטודנטים ומרצים ציונים" (המקור בפרסית – حنظله اطلاعات صدها هزار دانشجو و استاد صهیونیست را هک کرد), סוכנות הידיעות פארס ניוז, 13 במרץ 2026. https://farsnews.ir/miladmaniee/1773403477241094231
[35] "העמודים הפרסיים של הצבא הציוני נפרצו…" (המקור בפרסית – صفحه‌های فارسی ارتش صهیونیستی هک ش, פוסט בחשבון ה-X של סוכנות הידיעות פארס ניוז), X, 6 במרץ 2026. https://x.com/FarsNews_Agency/status/2029965618586284372
[36] "האקרים איראנים פרצו לנייד של חייל ביחידת דובר צה"ל – והדליפו מתוכו מידע", אתר החדשות Ynet, 12 במרץ 2026. https://www.ynet.co.il/news/article/hkxi005gqze
[37] "Telegram Hacktivist Activity Timeline of Iran – Israel & US War", SOC Radar, Last Updated – March 13, 2026. https://socradar.io/blog/telegram-activity-timeline-iran-israel-us-war
[38] "How Infostealers May Have Opened the Door to the Stryker Wipe", Joe Toomey, Coalition, March 12, 2026. https://www.coalitioninc.com/blog/security-labs/how-infostealers-may-have-opened-door-stryker-wipe
[39] "FBI update on Iran-linked hackers who brought down machines of America's largest medical device company Stryker; says: Iran thought they could hide behind…", Times of India, March 20, 2026.
https://timesofindia.indiatimes.com/technology/tech-news/fbi-update-on-iran-linked-hackers-who-brought-down-machines-of-americas-largest-medical-device-company-stryker-says-iran-thought-they-could-hide-behind-/articleshow/129695549.cms?utm_source=chatgpt.com
[40] "FBI seizes domains tied to Iranian hackers linked to Stryker cyberattack", Axios, March 19, 2026.
https://www.axios.com/2026/03/20/iran-cyber-attack-stryker-domains-fbi?utm_source=chatgpt.com
[41] "אתר האינטרנט החדש של הנדלה הושק" (המקור בפרסית – "وب‌سایت جدید حنظله راه‌اندازی شد"), סוכנות הידיעות פארס ניוז, 20 במרץ 2026.
https://farsnews.ir/miladmaniee/1773981987066525162/%D9%88%D8%A8-%D8%B3%D8%A7%DB%8C%D8%AA-%D8%AC%D8%AF%DB%8C%D8%AF-%D8%AD%D9%86%D8%B8%D9%84%D9%87-%D8%B1%D8%A7%D9%87-%D8%A7%D9%86%D8%AF%D8%A7%D8%B2%DB%8C-%D8%B4%D8%AF
[42] "Iran-linked hackers restore website after US seizes domains", Reuters, March 20, 2026.
https://www.reuters.com/technology/iran-linked-hackers-restore-website-after-us-seizes-domains-2026-03-20/?utm_source=chatgpt.com
[43] "הנדלה חושף את זהות בעלי ערוץ הטלגרם Vahid Online" (המקור בפרסית – حنظله هویت مالک کانال تلگرامی وحید آنلاین را افشا کرد, עמוד הטלגרם של סוכנות הידיעות תסנים), טלגרם, 17 במרץ 2026. https://t.me/Tasnimnews/397674
[44] שם.
[45] "באיראן אינטרנשנל מאשרים את הפריצה לחשבונות הטלגרם של עובדי הערוץ" (המקור בפרסית – "ایران اینترنشنال" هک حساب‌های تلگرامی کارکنانش را تأیید کرد), DW בשפה הפרסית, 8 ביולי 2025. https://www.dw.com/fa-ir/%D8%A7%DB%8C%D8%B1%D8%A7%D9%86-%D8%A7%DB%8C%D9%86%D8%AA%D8%B1%D9%86%D8%B4%D9%86%D8%A7%D9%84-%D9%87%DA%A9-%D8%AD%D8%B3%D8%A7%D8%A8%D9%87%D8%A7%DB%8C-%D8%AA%D9%84%DA%AF%D8%B1%D8%A7%D9%85%DB%8C-%DA%A9%D8%A7%D8%B1%DA%A9%D9%86%D8%A7%D9%86%D8%B4-%D8%B1%D8%A7-%D8%AA%D8%A3%DB%8C%DB%8C%D8%AF-%DA%A9%D8%B1%D8%AF/a-73202383
[46] "הדיווח של איראן אינטרנשנל על זהותם של חברי קבוצת הנדלה והקשר שלהם לרפובליקה האסלאמית" (המקור בפרסית – گزارش ایران‌اینترنشنال از هویت عوامل گروه حنظله و ارتباط آن‌ها با جمهوری اسلامی), 14 באוגוסט 2025. https://www.iranintl.com/202508143905

סדרת הפרסומים “ניירות עמדה” מטעם המכון מתפרסמת הודות לנדיבותה של משפחת גרג רוסהנדלר