Operazione Lockheed Martin: doppio attacco iraniano, fino a 375 TB di dati e un ultimatum di 48 ore agli ingegneri
Nella settimana più intensa del conflitto cyber Iran-USA-Israele, il più grande contractor della difesa americano è stato colpito due volte in pochi giorni da gruppi hacker pro-iraniani. APT Iran rivendica la sottrazione di dati da Lockheed Martin, inclusi i blueprints dell’F-35. Handala ha fatto di più: ha doxxato 28 ingegneri, li ha chiamati a casa e ha intimato loro di lasciare Israele entro 48 ore.
20 marzo: APT Iran rivendica i dati da Lockheed Martin
Tutto inizia il 20 marzo 2026, quando il collettivo hacktivist pro-iraniano tracciato come APT Iran pubblica su Telegram una rivendicazione di vasta portata. Il gruppo sostiene di aver sottratto dati da Lockheed Martin, il più grande contractor della difesa e dell’aerospazio degli Stati Uniti, incluse copie delle specifiche tecniche degli F-35, il caccia di quinta generazione più avanzato dell’arsenale americano, e altre informazioni aziendali riservate.
La quantità di dati rivendicata varia a seconda delle fonti. La maggioranza della stampa specializzata, tra cui Cybersecurity Dive, SC Media e Security Boulevard, riporta 375 terabyte. Altre fonti, tra cui Cyber Daily e Defence Connect, indicano invece 375 gigabyte. La discrepanza, pari a un fattore di 1.000x, non è stata chiarita dal gruppo né verificata in modo indipendente da terze parti.
La portata della richiesta economica è altrettanto clamorosa: il gruppo ha esatto circa $400 milioni, definiti «il costo di costruzione di quattro F-35», in cambio della non vendita dei dati agli avversari degli Stati Uniti. Lo riportano sia Halcyon sia ThreatBeat.
Le rivendicazioni sono state rilevate e analizzate da più ricercatori indipendenti, tra cui Flashpoint e Check Point Software, mentre Halcyon ha confermato la pubblicazione delle richieste di riscatto su Telegram. La prima copertura mediatica di rilievo è apparsa il 23 marzo con l’articolo di Cybersecurity Dive.
Lockheed Martin ha inizialmente risposto confermando di essere a conoscenza delle rivendicazioni e di avere procedure in atto per la gestione delle minacce informatiche. In un comunicato aggiornato al 25 marzo, un portavoce ha dichiarato a Cyber Daily che «non esistono prove che queste segnalazioni siano accurate», ribadendo al contempo la propria fiducia nell’infrastruttura di sicurezza aziendale.
Il profilo di APT Iran è noto agli analisti: il gruppo è strettamente collegato a CyberAv3ngers e in precedenza aveva colpito infrastrutture critiche in Giordania, con un tentativo documentato di distruggere riserve strategiche di grano tramite la compromissione dei sistemi della Jordan Silos and Supply General Company, come confermato dal governo giordano e riportato da ThreatBeat.
26 marzo: Handala lancia la “Fase 2” con doxxing fisico
A distanza di pochi giorni, la situazione subisce un’escalation drammatica. Il gruppo Handala dichiara di aver avviato «una nuova fase dell’Operazione Lockheed Martin», pubblicando un aggiornamento il 26 marzo sui propri siti sia sul clear web sia sul dark web, secondo Cyber Daily.
L’azione va ben oltre la sottrazione di dati aziendali: si configura come una campagna di doxxing mirato a persone fisiche. Il gruppo ha esposto l’identità personale e la posizione di 28 ingegneri senior americani che lavorano in Israele su progetti militari, inclusi nomi, numeri identificativi, dettagli del passaporto, luoghi di residenza e basi operative, come documentato da Cybernews. Secondo i ricercatori di Cybernews, i dati sembrano genuini e riguardano persone coinvolte nella manutenzione di F-35, F-22 e del sistema difensivo THAAD, come confermato anche da WANA e Daily Dark Web.
Handala non si è fermato alla pubblicazione dei dati. Nel proprio comunicato, il gruppo ha descritto di aver contattato direttamente alcuni degli ingegneri: «Abbiamo stabilito contatti con alcuni di loro per dimostrare quanto siano fragili le barriere digitali. Li abbiamo chiamati e detto dove vivono, i nomi dei loro figli, i loro cibi preferiti, le loro attività nel fine settimana e la posizione delle residenze dei loro familiari negli Stati Uniti.» La dichiarazione originale è riportata integralmente da Cyber Daily e Cybernews.
L’ultimatum è di 48 ore: gli ingegneri devono cessare la cooperazione con Israele e lasciare immediatamente il paese. In caso contrario, le loro abitazioni diventerebbero «obiettivi missilistici», secondo quanto riportato da WANA. Il gruppo ha anche minacciato i familiari residenti negli Stati Uniti.
Lockheed Martin ha risposto confermando di essere a conoscenza delle rivendicazioni di Handala, ribadendo fiducia nella propria infrastruttura di sicurezza e sottolineando di «continuare a monitorare e proteggere attivamente le proprie reti», come riportato da Cyber Daily.
Chi è Handala: hacktivismo come copertura per operazioni di Stato
Molteplici indagini indipendenti, inclusa un’analisi pubblicata da Wired, hanno documentato come l’hacktivismo sia essenzialmente una copertura per attacchi cyber di natura statale. Secondo gli analisti, Handala è un fronte del Ministero dell’Intelligence iraniano (MOIS): lo confermano il Dipartimento di Giustizia USA, Check Point Research (che traccia il gruppo come Void Manticore, alias Red Sandstorm e Banished Kitten) e Palo Alto Networks Unit 42.
La settimana precedente, il 20 marzo 2026, il Dipartimento di Giustizia degli Stati Uniti aveva sequestrato quattro domini web legati al gruppo, ovvero Justicehomeland[.]org, Handala-Hack[.]to, Karmabelow80[.]org e Handala-Redwanted[.]to, come annunciato nel comunicato ufficiale DOJ. Un’azione che, evidentemente, non ne ha interrotto le operazioni: secondo Cyberwarzone e Cybersecurity Dive, il gruppo ha ripristinato la propria presenza online in circa 24 ore.
Daily Dark Web segnala che, al momento della pubblicazione, non esistono prove di un accesso diretto alle reti aziendali di Lockheed Martin. La campagna si configura come una raccolta e pubblicazione di dati personali, presumibilmente ottenuti attraverso fonti OSINT e attività di intelligence precedenti, finalizzata a minacce dirette alla sicurezza fisica degli individui.
Questa distinzione è cruciale sul piano analitico: non si tratta di un attacco ai sistemi di Lockheed Martin in senso stretto, ma di un’operazione ibrida che combina cyber intelligence, doxxing e intimidazione fisica, con l’obiettivo dichiarato di esercitare pressione psicologica sui tecnici coinvolti in programmi militari considerati ostili dall’Iran.
Il contesto: la guerra cyber nel conflitto Iran-USA-Israele
I due attacchi a Lockheed Martin si inseriscono in una campagna più ampia. Marzo 2026 ha registrato un’ondata significativa di operazioni cyber attribuite ad attori legati all’Iran, in parallelo con il conflitto militare in corso. La CISA ha emesso un alert il 18 marzo esortando tutte le organizzazioni statunitensi a rafforzare gli ambienti Microsoft Intune, dopo che i cyber attaccanti hanno preso di mira i sistemi di endpoint management per ottenere accesso privilegiato. L’alert fa riferimento diretto all’attacco dell’11 marzo 2026 contro Stryker Corporation, azienda di tecnologia medicale, in cui Handala ha sfruttato le funzionalità native di Intune per cancellare dati da migliaia di dispositivi aziendali senza ricorrere a malware.
Il gruppo islamico della resistenza irachena, noto come 313 Team, ha nel frattempo rivendicato attacchi all’Internet Archive, 4chan, Reddit e al sito di Donald Trump, come documentato da ThreatBeat. APT Iran aveva contestualmente dichiarato di aver compromesso anche un produttore di idranti negli Stati Uniti, identificato da SOCRadar come Kupferle Water Solutions a Fenton, Missouri, manipolando i valori di controllo industriale e lasciando a loro dire un «ricordo» nei sistemi.
Perché questa notizia conta
La vicenda Lockheed Martin segna un passaggio qualitativo nel panorama delle minacce cyber legate al conflitto. Per la prima volta, un gruppo statale-proxy non si limita a colpire sistemi o dati aziendali, ma utilizza le informazioni sottratte per minacciare direttamente l’incolumità fisica di individui, dei loro familiari e delle loro abitazioni. Si tratta di una forma di warfare ibrida in cui il dominio cyber e quello fisico convergono esplicitamente, come analizzato da Palo Alto Networks Unit 42 nel suo threat brief aggiornato al 26 marzo 2026.
Per i professionisti della sicurezza, questa escalation impone una riflessione urgente: la gestione del rischio per i dipendenti che operano in teatri di conflitto attivo non può più limitarsi alla protezione delle credenziali aziendali. Comprende ora la sicurezza personale, la protezione dei dati OSINT individuali e la gestione delle minacce fisiche derivate da operazioni di intelligence avversaria.
