伊朗政府旗下網絡作戰組織「Handala」於 2026 年 3 月 27 日宣稱已成功入侵美國聯邦調查局(FBI)局長 Kash Patel 的個人 Gmail 帳號,並在其網站上發布大批竊得的私人電郵及相片, FBI 與美國司法部(DOJ)相繼確認事件屬實。這次洩漏發生在美國司法部扣押 Handala 核心域名後不到兩週,清晰呈現出美伊之間一場正在全面升溫的網絡報復戰。
根據報道, Handala 本次公布的內容包括 Kash Patel 的個人相片——涵蓋他抽雪茄及手持大瓶蘭姆酒自拍的畫面——以及大量涵蓋 2019 年前的私人與工作往來電郵,值得注意的是部分竊得電郵源自 Kash Patel 於 2014 年擔任司法部(DOJ)職員時所使用的工作郵箱(非 FBI 帳號),他當年曾將公務郵件轉發至個人 Gmail ,由此留下可被追蹤的數碼痕跡。
外媒透過核查電郵標頭中郵件傳輸系統紀錄的加密簽名(Cryptographic Signature),獨立確認至少部分電郵確實源自 Kash Patel 的 Gmail 帳號, FBI 隨即發表正式聲明:「FBI 已知悉惡意行為者以 Kash Patel 局長的個人電郵為目標,我們已採取一切必要措施降低相關風險。相關資料性質上屬於歷史資料,且不涉及任何政府機密資料。」聯邦調查局同步透過美國國務院「正義獎賞計劃(Rewards for Justice)」,對提供 Handala 成員資料者懸賞最高 1,000 萬美元(約港幣 7,800 萬元)。
要理解此次入侵的戰略邏輯必須還原事件的時序脈絡, 2026 年 3 月 19 日美國司法部宣布扣押 Handala 的 4 個核心域名: Justicehomeland.org 、 Handala-Hack.to 、 Karmabelow80.org 及 Handala-Redwanted.to ,並指控這些域名被伊朗情報及安全部(MOIS)用於聲索黑客攻擊、散布竊取數據以及呼籲殺害記者、異見人士及以色列人等「心理戰」活動。 Kash Patel 在 DOJ 聲明中強硬表態:「我們摧毀了他們行動的四根支柱但我們還沒完。這個 FBI 將追緝每一個躲在懦弱威脅和網絡攻擊背後的人,並讓他們承受美國執法的全力打擊。」
Handala 在 FBI 扣押域名後不久新域名便迅速重新上線,並隨即發動針對 Kash Patel 的電郵攻擊公開宣稱此舉是對 FBI 打壓行動的直接報復,美國司法部國家安全部門助理總檢察長 John A. Eisenberg 在聲明中直言:「伊朗利用被扣押的域名,對記者和異見人士實施人肉搜索和騷擾、煽動針對猶太社區的暴力行動,並傳播德黑蘭的反美宣傳。」
Handala 並非真正意義上的獨立黑客組織,美國司法部官方文件正式確認 Handala 是伊朗情報及安全部(MOIS)所操控的多個身分之ㄧ。 Palo Alto Networks 旗下威脅情報部門 Unit 42 則將其技術代號定為「Void Manticore」,確認該組織於 2023 年底浮出水面,慣用手法是將數據竊取行動與「假維權(Faketivist)」心理戰相結合——先攻取目標數據,再透過公開洩漏製造輿論壓力。
DOJ 的起訴文件更揭露了 Handala 操作手冊中最黑暗的一面,黑客曾以 Handala_Team@outlook.com 帳號向身處美國及海外的伊朗異見人士發送死亡威脅,並以 25 萬美元(約港幣 195 萬元)懸賞墨西哥哈利斯科新生代卡特爾(CJNG)成員要求對方追殺並斬首指定目標。這表明 Handala 除了是網絡行動者,也是一個將數碼恐怖主義與真實世界暴力相嫁接的複合型威脅實體。
Kash Patel 電郵案爆發前 Handala 已在本月密集發動多宗高調攻擊, 2026 年 3 月 11 日 Handala 對總部位於密歇根州卡拉馬祖、去年全球銷售額達 250 億美元(約港幣 1,950 億元)的醫療裝置巨頭 Stryker (全球逾 56,000 名員工)發動毀滅性攻擊。根據 Krebs on Security 的深度調查,黑客並非利用傳統惡意程式,而是入侵 Stryker 的 Microsoft Intune 雲端裝置管理後台,向全球所有連線裝置下達「遠端抹除」指令,造成 Handala 宣稱的逾 20 萬台系統、伺服器及流動裝置數據被清空,愛爾蘭科克市的 Stryker 歐洲最大樞紐一度送逾 5,000 名員工回家待命。這次攻擊同時造成 LifeNet 心電圖緊急傳輸系統中斷,美國多家醫院被迫暫停與 Stryker 相連的 EKG 傳輸服務,直接影響心臟病患者的緊急救治流程,美國醫院協會(AHA)宣布緊急追蹤事態進展。
Handala 聲稱此次攻擊是為報復 2026 年 2 月 28 日美軍導彈擊中伊朗境內一所學校造成至少 175 人(多數為兒童)罹難的事件,《紐約時報》援引美方軍事調查初步結論確認該枚 Tomahawk 導彈確為美軍所發射。其後 Handala 進一步宣稱入侵軍火巨頭 Lockheed Martin 竊取並公開多名駐中東員工的個人資料,並向相關人員發出離開以色列的威脅, Krebs on Security 亦確認 Handala 還聲索了針對約旦加油站系統及以色列能源勘探公司的攻擊。
來源:TechCrunch