Il caso Handala non va letto come semplice “cronaca di hacking”, ma come segnale strategico: la messaggistica istantanea è diventata infrastruttura critica personale, e gli attacchi si muovono dove tecnica e psicologia si incontrano. Anche quando la compromissione è limitata, l’effetto può essere disproporzionato se il bersaglio è simbolico e la pubblicazione è orchestrata. L’analisi di Antonio Teti, professore dell’Università “G. D’Annunzio” di Chieti-Pescara
Tra fine dicembre 2025 e inizio gennaio 2026 il gruppo hacker Handala, descritto da più fonti di threat intelligence come Iran-linked e ideologicamente pro-palestinese, ha rilanciato una campagna che unisce intrusione digitale, esposizione selettiva di dati e pressione psicologica. Il caso – raccontato in prima battuta da siti specializzati e poi rimbalzato su media internazionali – riguarda la presunta compromissione dei canali di comunicazione di figure apicali dell’establishment israeliano, con particolare attenzione a account Telegram e alla successiva pubblicazione di materiale “a pacchetti”, in stile doxxing e disinformation-adjacent. La vicenda è utile per leggere tre fenomeni in crescita:
- la centralità delle app di messaggistica come “infrastruttura personale” di potere;
- l’evoluzione delle campagne hack-and-leak in operazioni di influenza;
- il ritorno della dimensione ibrida (cyber + informazione + intimidazione) nel confronto Iran-Israele, dentro e fuori il perimetro statuale.
Secondo la ricostruzione pubblicata da GBHackers, Handala ha dichiarato di aver “compromesso” dispositivi mobili e di aver esfiltrato contenuti collegati a Naftali Bennett (ex primo ministro) e Tzachi Braverman (capo di gabinetto del primo ministro Netanyahu), annunciando o diffondendo chat, contatti e file multimediali provenienti da Telegram, con l’aggiunta di accuse e insinuazioni funzionali a costruire uno “scandalo” mediatico. Qui va chiarito un punto: la rivendicazione (telefono “bucato”, controllo totale, prove di corruzione ecc.) non coincide automaticamente con la realtà tecnica dell’incidente. Nelle campagne di influenza, la claim è parte della payload: serve a guidare interpretazioni, a stimolare eco-mediatico e a spostare l’attenzione dall’“intrusione” alla “storia” che l’intrusione dovrebbe dimostrare. A tal proposito, l’elemento più importante – e più spesso perso nel dibattito pubblico – arriva dall’analisi firmata KELA Cyber Threat Intelligence: l’evidenza disponibile suggerirebbe un perimetro molto più ristretto rispetto al “full device compromise”, con un focus su accesso non autorizzato agli account Telegram e non su una compromissione completa del sistema operativo del telefono.
L’analisi tecnica di KELA ha rivelato che la maggior parte delle “conversazioni chat” erano schede di contatto vuote, generate automaticamente da Telegram durante la sincronizzazione. Solo 40 contenevano messaggi veri e propri, e ancora meno mostravano contenuti sostanziali. Tutti i contatti erano collegati ad account Telegram attivi, a conferma che i dati provenivano da Telegram stesso e non dai dispositivi indicati. KELA evidenzia inoltre che parte dei contenuti “vantati” nei leak può essere rumore (ad esempio elenchi/contatti o record generati automaticamente dalla piattaforma) e che l’operazione va interpretata dentro un modello collaudato: ottenere accesso a sessioni o credenziali, estrarre materiale utile alla narrazione, pubblicare in modo controllato per massimizzare pressione e attenzione. Tradotto: anche un attacco relativamente “ordinario” (dal punto di vista tecnico) può produrre effetti strategici se colpisce persone simboliche e si inserisce in un contesto di polarizzazione e conflitto.
Come si buca davvero un account Telegram “di alto profilo”: le TTP (Tattiche, Tecniche, Procedure) plausibili
Senza scivolare nella dietrologia, le TTP citate nelle analisi pubbliche convergono su alcuni vettori tipici:
- Social engineering/spear-phishing per ottenere password e codici one-time (OTP);
- Furto di sessioni Telegram Desktop da workstation compromesse: è un pattern noto perché, se l’attaccante mette le mani su sessioni valide, può evitare exploit complessi e agire come “utente legittimo”;
- Accesso non autorizzato a backup cloud o ad ambienti di sincronizzazione, che spesso diventano l’anello debole nelle catene di sicurezza personale dei decisori.
Queste traiettorie hanno un punto in comune: spostano il baricentro dalla vulnerabilità “del telefono” alla vulnerabilità dell’ecosistema (endpoint secondari, account cloud, abitudini, procedure, igiene digitale del contesto lavorativo). Handala viene descritto da più fonti come un attore pro-palestinese e connesso, direttamente o indirettamente, all’orbita iraniana. La letteratura OSINT degli ultimi anni insiste su un fenomeno: gruppi che si presentano come “hacktivisti” possono funzionare da proxy (tollerati, supportati o orientati) in un quadro di competizione tra Stati, mantenendo un vantaggio di ambiguità. Alcune analisi spingono anche oltre, leggendo il brand Handala come strumento di guerra psicologica. È un’ipotesi da trattare con prudenza, ma coerente con la struttura delle campagne: obiettivi simbolici, pubblicazione graduale, enfasi sullo “scandalo” e sull’umiliazione del bersaglio, più che sul danno operativo immediato.
Perché questa campagna è “ibrida”: il valore politico dei dati personali
Il punto focale della questione non risiede semplicemente nella cosiddetta “lettura delle chat”, bensì quale uso puoi farne dei contenuti delle stesse. In altri termini, è possibile manipolarne per creare delle fratture di fiducia nelle istituzioni, per alzare il costo reputazionale e personale per decisori, giornalisti, funzionari, oppure per alimentare le intimidazioni mediante la costruzione di flussi informativi in cui autenticità e falsificazione possono convivere. Su questo fronte, è utile ricordare che governi e organismi pubblici hanno già descritto pratiche simili come “transnational repression” e intimidazione digitale: la pubblicazione di dati personali e la loro facile reperibilità online aumentano il rischio per i bersagli e amplificano l’effetto coercitivo. Ed è esattamente ciò che rende le “hack & leak ops” delle armi “pulite” (a basso rischio di escalation cinetica) ma altamente efficaci. Com’è ampiamente risaputo, nell’ambiente cyber, come si evince anche dalla discussione pubblica internazionale su questi eventi, non esiste un vero cessate il fuoco.
La copertura del Wall Street Journal colloca l’episodio in una ondata più ampia di operazioni cyber iran-linked successive al 7 ottobre 2023 e alla guerra a Gaza, con una preferenza per modelli “hack-and-leak” contro bersagli percepiti come più vulnerabili (enti, strutture meno protette, individui) rispetto ai vertici della sicurezza più blindati. Qui emerge un tema decisivo per chi fa intelligence e sicurezza: la credibilità è una risorsa. Handala, come altri attori, opera in un “mercato” dove basta un solo leak credibile per rendere credibili anche leak futuri meno solidi. La reputazione di “essere entrati” diventa una leva che genera vantaggi informativi e psicologici, anche quando la componente tecnica è relativamente semplice. Per i profili ad alto rischio (governance, intelligence, difesa, grandi corporate), la lezione assume una connotazione rilevante: l’anello debole raramente è “l’iPhone”, bensì è quasi sempre la superficie d’attacco complessiva: in sintesi, la sicurezza “VIP” richiede una convergenza tra cybersecurity, counter-intelligence e comunicazione strategica.
Cosa aspettarsi nel 2026: più campagne “a puntate” e più manipolazione del materiale trafugato
Gli elementi disponibili indicano che operazioni come questa continueranno a crescere lungo tre direttrici: il leak serializzati (pubblicazione a tranche per massimizzare attenzione e negoziare da posizione di forza, anche solo reputazionale), contenuti ibridi (mix di materiale autentico, materiale decontestualizzato e possibile materiale alterato, per rendere costosa la smentita), targeting di prossimità (non solo i top leader, ma staff, consulenti, giornalisti, fornitori, cioè la “filiera” di relazione che alimenta i processi decisionali). Questa è la cifra della competizione contemporanea: non serve “spegnere la luce” in una centrale elettrica per ottenere vantaggio politico; spesso basta inquinare la fiducia.
Il caso Handala non va letto come semplice “cronaca di hacking”, ma come segnale strategico: la messaggistica istantanea è diventata infrastruttura critica personale, e gli attacchi si muovono dove tecnica e psicologia si incontrano. Anche quando la compromissione è limitata (Telegram, sessioni, credenziali), l’effetto può essere disproporzionato se il bersaglio è simbolico e la pubblicazione è orchestrata.
