Handala viola l’email personale del Direttore dell’FBI Kash Patel: la risposta dell’Iran alla guerra cyber
Il gruppo filo-iraniano Handala Hack Team ha pubblicato online foto e documenti estratti dall’account Gmail personale del capo dell’FBI. Una rappresaglia simbolica e strategica nel contesto del conflitto Iran-USA/Israele.
Il 27 marzo 2026, il gruppo hacktivista Handala Hack Team ha rivendicato la violazione dell’account email personale di Kash Patel, Direttore del Federal Bureau of Investigation (FBI). I pirati informatici hanno pubblicato online fotografie personali del direttore, tra cui immagini di Patel mentre fuma sigari, posa a bordo di una decappottabile d’epoca e si scatta un selfie allo specchio con in mano una bottiglia di rum, insieme a un campione di oltre 300 email apparentemente estratte dal suo account Gmail personale.
L’FBI ha confermato l’incidente: l’agenzia è “a conoscenza di attori malevoli che hanno preso di mira le informazioni email personali del Direttore Patel” e ha dichiarato di aver “adottato tutti i passaggi necessari per mitigare i rischi potenziali associati a questa attività”. Il Bureau ha precisato che le informazioni in questione “sono di natura storica e non riguardano informazioni governative”. TechCrunch ha potuto verificare l’autenticità di almeno alcune delle email pubblicate da Handala, confermando che provengono dall’account Gmail personale di Patel attraverso la verifica delle informazioni contenute nelle intestazioni dei messaggi.
La rappresaglia dopo il sequestro dei domini
Il contesto è fondamentale per comprendere la portata politica dell’attacco. La violazione sarebbe una ritorsione diretta all’operazione dell’FBI che, la settimana precedente, aveva sequestrato quattro domini utilizzati dal gruppo Handala: Justicehomeland[.]org, Handala-Hack[.]to, Karmabelow80[.]org e Handala-Redwanted[.]to. Il Bureau aveva intrapreso quella mossa, annunciata il 19 marzo 2026 dal Dipartimento di Giustizia, dopo che Handala aveva rivendicato la responsabilità del devastante attacco informatico contro la società di dispositivi medici Stryker, avvenuto l’11 marzo 2026.
Nel comunicato pubblicato sul proprio sito, Handala ha scritto: “While the FBI proudly seized our domains and immediately announced a $10 million reward for the heads of Handala hack members, we decided to respond to this ridiculous show in a way that will be remembered forever.”
Il messaggio è costruito per massimizzare l’impatto simbolico: colpire personalmente il capo dell’FBI, ossia l’istituzione che aveva appena tentato di neutralizzarli, è una mossa di comunicazione prima ancora che tecnica.
Il contenuto della violazione: email storiche, nessuna informazione classificata
Le email pubblicate risalgono prevalentemente al periodo tra il 2010 e il 2019, con alcune comunicazioni fino al 2022, e comprendono corrispondenza personale, professionale e di viaggio di Patel con vari contatti. La revisione effettuata da Axios indica che le email provengono esclusivamente dall’account Gmail privato di Patel, senza alcun elemento relativo alle attuali operazioni dell’FBI.
Ciò che il gruppo chiama violazione dei sistemi “impenetrabili” dell’FBI è in realtà qualcosa di più circoscritto: la compromissione di un account email privato con contenuti quali foto personali e comunicazioni private. CNN ha verificato l’autenticità dei materiali con l’ausilio del ricercatore di cybersecurity Ron Fabela, il quale ha confermato che si tratta di elementi come fotografie familiari e dettagli sulla ricerca di appartamenti a Washington, senza alcuna informazione riservata.
Aggiornamento: Secondo NBC News, i metadati dei file indicano che le email erano già in possesso dell’Iran prima dell’inizio della guerra. Le cartelle risultano modificate l’ultima volta il 21 maggio 2025. Gli analisti ritengono che Teheran avesse questo materiale in archivio e abbia scelto strategicamente il momento del rilascio come “munizione di riserva”. Il canale Telegram di Handala, su cui erano stati pubblicati gli annunci dell’attacco, è stato rimosso dalla piattaforma nelle ore successive.
Non è la prima volta: il precedente del 2024
Questo attacco non è isolato nella storia recente. Già alla fine del 2024, quando Patel era prossimo alla nomina a capo dell’FBI, era stato informato dai funzionari dell’intelligence di essere stato preso di mira da un hack iraniano nel quale alcune delle sue comunicazioni personali erano state consultate. Quella campagna faceva parte di un’operazione più ampia condotta da hacker cinesi e iraniani contro i collaboratori in arrivo dell’amministrazione Trump: secondo CNN, i bersagli includevano anche il Vice Procuratore Generale Todd Blanche, l’ex procuratrice Lindsey Halligan e Donald Trump Jr.
Chi è Handala: lo strumento cyber dell’Iran
Handala si presenta come un gruppo di hacker “vigilanti” filo-palestinesi, ma i ricercatori occidentali e le autorità statunitensi lo considerano una delle diverse identità utilizzate dalle unità di cyber-intelligence del governo iraniano, in particolare riconducibile al Ministero dell’Intelligence e della Sicurezza (MOIS). Lo stesso Dipartimento di Giustizia USA, nell’annuncio del sequestro dei domini del 19 marzo, ha formalmente attribuito le attività di Handala al MOIS, definendo il gruppo un attore di “faketivist psychological operations”. L’analisi tecnica di Palo Alto Networks Unit 42 identifica Handala come una delle personas mantenute da Void Manticore (Storm-0842), struttura MOIS-affiliata.
L’Iran fa storicamente affidamento su gruppi proxy come Handala per le proprie operazioni cyber, rendendo più difficile per le entità colpite attribuire formalmente gli attacchi al governo di Teheran. Per un inquadramento completo delle operazioni cyber nel conflitto in corso, si rimanda all’analisi pubblicata da questo magazine: Cyber-guerra Iran-USA-Israele: Operazione Epic Fury e Roaring Lion.
Nelle ultime settimane l’escalation delle azioni del gruppo è stata costante. Oltre all’attacco a Stryker, Handala ha pubblicato i dati personali di 28 dipendenti di Lockheed Martin in servizio in Medio Oriente, inclusi nomi, indirizzi e immagini di passaporto, con messaggi di minaccia esplicita.
Aggiornamento: Il 24 marzo 2026 il gruppo ha pubblicato una minaccia non verificata di 50 milioni di dollari di taglia contro il Presidente Donald Trump e il Primo Ministro israeliano Benjamin Netanyahu. Gli analisti classificano questo elemento come attività di influenza e intimidazione, priva di indicatori credibili di capacità operativa.
L’analisi strategica: “stanno sparando tutto ciò che hanno”
Gil Messing, Chief of Staff della società israeliana di cybersecurity Check Point, ha definito l’operazione hack-and-leak contro Patel parte della strategia iraniana volta a mettere in imbarazzo i funzionari statunitensi e a “farli sentire vulnerabili”. Gli iraniani, ha commentato, “stanno sparando tutto ciò che hanno”. La tattica non è nuova: è storicamente nota la violazione dell’account Gmail personale di John Podesta, chairman della campagna presidenziale di Hillary Clinton, in vista delle elezioni del 2016, con successiva pubblicazione dei dati su WikiLeaks.
La formula rimane la stessa: colpire la sfera privata di figure pubbliche per creare danno reputazionale e clima di insicurezza diffusa, indipendentemente dalla rilevanza operativa dei contenuti sottratti. Si tratta di operazioni di tipo FIMI (Foreign Information Manipulation and Interference), su cui questo magazine ha pubblicato un’analisi approfondita: FIMI: la guerra ibrida dell’informazione.
La risposta USA: 10 milioni di dollari di taglia e i limiti dell’azione legale
L’amministrazione Trump ha risposto con una misura economica diretta. Il programma Rewards for Justice del Dipartimento di Stato ha annunciato una ricompensa fino a 10 milioni di dollari per informazioni che portino all’identificazione dei membri del gruppo Handala. La mossa, tuttavia, ha una portata limitata nel breve termine: diversi esperti sentiti da PBS NewsHour hanno dichiarato che i sequestri di domini avranno un impatto minimo sulle capacità operative di Handala nel prossimo futuro. Il gruppo ha infatti già ripristinato la propria infrastruttura web su un nuovo dominio, con il medesimo registrar.
L’attacco Stryker: la premessa dell’escalation
Per comprendere la catena di eventi che ha portato alla violazione dell’email di Patel è necessario richiamare l’attacco a Stryker dell’11 marzo 2026. Handala ha rivendicato la cancellazione di dati da oltre 200.000 dispositivi aziendali in 79 Paesi, sfruttando l’accesso privilegiato alla piattaforma di gestione remota Microsoft Intune di Stryker per emettere comandi di factory reset simultanei su tutti i device registrati. Stryker ha confermato la compromissione tramite un deposito 8-K alla SEC, descrivendo una “grave interruzione globale del proprio ambiente Microsoft”. Il numero esatto di dispositivi effettivamente cancellati non è stato verificato ufficialmente dall’azienda: le cifre di 200.000 sistemi e 50 terabyte di dati esfiltrati restano rivendicazioni del gruppo, non ancora riscontrate in modo indipendente.
Implicazioni per la sicurezza istituzionale
Questo episodio riporta al centro del dibattito un tema critico che si ripete con cadenza regolare: la gestione della sicurezza delle comunicazioni personali dei funzionari governativi. Anche chi opera ai vertici delle istituzioni di sicurezza più potenti al mondo rimane vulnerabile quando utilizza infrastrutture email commerciali per comunicazioni private. La separazione netta tra dispositivi e account personali e istituzionali non è solo una best practice: in contesti ad alto rischio geopolitico, è una necessità operativa.
Nel quadro più ampio del conflitto Iran-USA/Israele, l’attacco all’email di Patel va letto come un segnale preciso. La cyber war è anche una guerra di narrativa, dove il valore simbolico di un bersaglio conta quanto il danno tecnico effettivo. Colpire il capo dell’FBI nella sua sfera privata, poche ore dopo che quell’istituzione aveva sequestrato i loro domini, dimostra capacità di risposta rapida e volontà di mantenere la pressione psicologica sull’avversario, indipendentemente dalla natura storica dei dati effettivamente in mano al gruppo.
