El Departamento de Justicia de EE.UU ha anunciado la incautación de cuatro dominios del Ministerio de Inteligencia y Seguridad (MOIS) de la República Islámica de Irán: Justicehomeland[.]org, Handala-Hack[.]to, Karmabelow80[.]org y Handala-Redwanted[.]to— fueron utilizados por el MOIS para llevar a cabo operaciones psicológicas dirigidas a adversarios del régimen, con actividades de piratería informática, publicando datos confidenciales robados durante dichos ataques y haciendo un llamado al asesinato de periodistas, disidentes del régimen y ciudadanos israelíes. Por ejemplo, el MOIS utilizó el dominio Handala-hack[.]to para atribuirse la autoría de un ataque de malware destructivo perpetrado en marzo de 2026 contra una empresa multinacional de tecnologías médicas con sede en Estados Unidos.
La investigación del FBI reveló que los cuatro dominios incautados estaban conectados entre sí a través de sitios web de filtración compartidos, rangos de direcciones IP iraníes y un «manual» operativo común. Dicho manual incluye: ciberataques destructivos y disruptivos; y operaciones psicológicas de «faketivismo» que utilizan datos robados mediante piratería informática.
Según consta en documentos judiciales, tras el inicio del conflicto entre Estados Unidos e Irán el 28 de febrero de 2026, los dominios handala-hack[.]to y handala-redwanted[.]to, controlados por el MOIS, publicaron información personal identificable (IPI) asociada a las personas objetivo. El dominio handala-hack[.]to también se atribuyó la responsabilidad de los ciberataques perpetrados por el grupo. En concreto:
El 11 de marzo de 2026, Handala Hack, a través del dominio Handala-hack[.]to, se atribuyó la autoría de un ataque informático destructivo contra una multinacional estadounidense de tecnologías médicas. El individuo Handala Hack afirmó que el ataque era una represalia por los «ciberataques continuos contra la infraestructura del Eje de la Resistencia».
El 6 de marzo de 2026, Handala Hack, a través del dominio Handala-hack[.]to, publicó nombres y datos confidenciales de personas que, según Handala Hack, trabajaban para las FDI. La publicación decía, entre otras cosas: «Tu iPhone 12 Pro Max no nos ofrece ninguna seguridad; incluso conocemos tu ubicación exacta…», e instaba a «¡Gente del Eje de la Resistencia! Vean estos nombres y respondan ustedes mismos a estos cerdos sionistas».
El 6 de marzo de 2026, Handala Hack, a través del dominio Handala-hack[.]to, afirmó haber robado 851 gigabytes de datos confidenciales de miembros de la comunidad judía jasídica de Sanzer, incluyendo “documentos de cooperación financiera, ceremonias de brujería y correspondencia secreta con Netanyahu…”. La publicación continuaba: “Advertimos a los líderes y miembros de la comunidad jasídica de Sanzer: Ningún lugar es seguro para ustedes. La traición a los oprimidos solo trae desgracia y vergüenza. Esperen que se revelen más documentos. Handala Hack[.]”.
Estas amenazas y la información relacionada no solo se publicaron. La investigación del FBI también reveló que la cuenta de correo electrónico Handala_Team@outlook[.]com se utilizó para enviar amenazas de muerte a disidentes y periodistas iraníes que viven en Estados Unidos y en el extranjero. En esas comunicaciones, Handala Hack ofreció recompensas y pidió abiertamente a sus «socios» del cártel mexicano que cometieran actos de violencia contra sus objetivos. Específicamente, alrededor del 1 de marzo de 2026, la cuenta Handala_Team@outlook[.]com se utilizó para enviar correos electrónicos a dos víctimas, ubicadas en Estados Unidos y en el extranjero. En un correo electrónico con el asunto «Muerte a [nombres de las víctimas censurados]», el remitente escribió:
“Nosotros, el equipo Handala Hack, fieles seguidores del líder supremo Ali Hosseini Khamenei, declaramos la guerra a todos los enemigos del Islam en Occidente. Nuestros socios, el CJNG [Cártel Jalisco Nueva Generación] en Estados Unidos y Canadá, han recibido una lista de nuestros enemigos responsables de la muerte de nuestro gran líder. [Nombres censurados], se rieron como hienas durante el programa [censurado]. Hemos hackeado y revelado sus direcciones en [censurado] y [censurado] a nuestros socios del CJNG que se encuentran ahora en [estado de EE. UU. censurado] y [país extranjero censurado]. Ambos serán ejecutados pronto, y hemos ofrecido una recompensa de 250.000 dólares a los agentes que los maten y decapiten. ALLAHU AKBAR[.]”
El dominio handala-hack[.]to también se utilizó como parte de una estrategia más amplia para intimidar y acosar a disidentes y periodistas iraníes residentes en Estados Unidos y en el extranjero. Según los investigadores, los ciberdelincuentes asociados con este dominio dirigieron amenazas en línea contra quienes criticaban públicamente al gobierno iraní. En estos casos, el Ministerio de Defensa de Irán (MOIS) intentaba avergonzar y desacreditar a sus objetivos mediante la difusión de mensajes y contenido destinados a dañar su reputación. Aprovechando las plataformas en línea vinculadas al dominio, el MOIS buscaba amplificar sus amenazas, presionar a los críticos y desalentar el periodismo independiente, a la vez que generaba temor entre los miembros de la diáspora iraní críticos con el régimen.
Los dominios Justicehomeland[.]org y Karmabelow80[.]org eran los sitios web oficiales de una entidad hacktivista ficticia utilizada por MOIS. Aproximadamente el 15 de julio de 2022 y el 9 de septiembre de 2022, miembros de MOIS utilizaron el dominio Justicehomeland[.]org para reivindicar la autoría del robo de documentos confidenciales de organizaciones gubernamentales albanesas. La motivación para filtrar esta información parece ser la decisión del gobierno albanés de apoyar a un grupo disidente iraní llamado Muyahidines del Pueblo (MEK). En el pasado, MEK ha abogado abiertamente por el derrocamiento del gobierno iraní.
LA RAZON
