El sitio web utilizado por una unidad de hackers vinculada al gobierno iraní que se atribuyó la autoría de un ciberataque el 11 de marzo contra un fabricante estadounidense de dispositivos médicos volvió a estar en funcionamiento un día después de que el FBI y el Departamento de Justicia incautaran sus dominios de internet.
Cuatro dominios asociados con “Handala Hack Team” habían sido incautados, dijo el Departamento de Justicia el jueves. Handala es una de varias identidades públicas utilizadas por una unidad de hackers que opera bajo el Ministerio de Inteligencia y Seguridad de Irán (MOIS) como parte de las operaciones psicológicas de la agencia, dijo el DOJ.
Hoy, Handala dice en una publicación en su sitio web que las incautaciones fueron “intentos desesperados de Estados Unidos y sus aliados por silenciar la voz de Handala”.
El rápido repunte destaca la resiliencia de las identidades públicas de las unidades de hackers vinculadas a Irán, dice Ari Ben Am, investigador asociado adjunto en el Center on Cyber and Technology Innovation de la Foundation for Defense of Democracies.
“Los actores de amenazas iraníes, el MOIS en particular, no son ajenos a los derribos”, dice Ben Am. “Handala por sí sola ha tenido decenas de canales de Telegram, cuentas en X y dominios dados de baja, y estos derribos nunca los han ralentizado de forma significativa. Será trivial para Handala y sus operadores del MOIS volver a poner ese contenido en línea en otro dominio muy, muy pronto”.
Los dominios incautados incluían los utilizados originalmente para hacer la afirmación del ataque contra Stryker, con sede en Michigan, SYK.N, según una declaración jurada del FBI parcialmente censurada presentada para respaldar la incautación.
Las referencias específicas a la empresa están tachadas, pero la declaración jurada se refiere a un ciberataque del 11 de marzo de 2026 contra una importante multinacional estadounidense de tecnologías médicas, y cita el mensaje de Handala publicado anunciando el ataque a Stryker.
Un portavoz del DOJ dice a Reuters que la declaración jurada del FBI “afirma que existe causa probable para creer que los operadores de la identidad ‘Handala’ son miembros de una conspiración que llevó a cabo un ataque de malware destructivo contra una empresa multinacional de tecnologías médicas con sede en EE. UU.”.
Stryker dice en una declaración del 19 de marzo en su sitio web que estaba restaurando sistemas que apoyan directamente a los clientes, los pedidos y los envíos, pero que sus productos eran seguros.
“Estamos agradecidos al gobierno por sus esfuerzos para incautar dominios vinculados a los presuntos actores de la amenaza”, dice la empresa.