קשה למצוא ישראלי שלא קיבל הודעת SMS חשודה או נחשף לכותרת מבהילה על פריצת ענק למאגר מידע רגיש. מאחורי רבות מהכותרות הללו עומדת קבוצה אחת, שבחרה לעצמה את השם Handala (חנדלה), על שם דמות ילד פליט מפורסמת של הקריקטוריסט הפלסטיני נאג'י אל-עלי.
5 צפייה בגלריה
המנהיג העליון חמינאי. איראן מפעילה מערך סייבר אגרסיבי
(צילום: KHAMENEI.IR / AFP, West Asia News Agency)/Handout via REUTERS)
אך אל תתנו לשם הרומנטי להטעות אתכם: לא מדובר בילדים עם מקלדת ומחשב, אלא באחת הזרועות האגרסיביות ביותר של הלוחמה הדיגיטלית והפסיכולוגית האיראנית.
לא כל ההאקרים האיראניים זהים
כדי להבין את Handala, יש להציב אותה קודם כל מול קבוצות אחרות הפועלות בזירה. בעוד שקבוצת Black Shadow (זכורה מהפריצה לחברת הביטוח שירביט) התמקדה בסחיטה תוך כדי השפלה, Handala ויתרה על הכסף.
היא פועלת יותר כמו קבוצת Moses Staff, אך עם דגש חזק יותר על טרור אזרחי ישיר ושיתופי פעולה עם קבוצות כמו Anonymous Sudan לביצוע מתקפות מניעת שירות על תשתיות. חשוב גם לשים לב שהקבוצות פועלות בשליחות של גופים שונים - למשל משמרות המהפכה או המודיעין האיראני - מה שאומר שיש להן מטרות שונות ואולי גם מאבקי כוח פנימיים על תקציבים והכרה.
נכון לסוף 2025, למרות תקופות של "שקט תעשייתי" ואובדן זמני של ערוצי הטלגרם שלהם, Handala ממשיכה להוות איום. הפעילות האחרונה בקיץ 2025 נגד ערוץ האופוזיציה האיראני Iran International בלונדון הוכיחה כי זרועותיה של הקבוצה ארוכות, אינן מוגבלות רק לישראל, ומנסה לפגוע בכל מי שנתפס על ידי המשטר האיראני כאיום חיצוני.
ניסיון לפגוע בדרג הישראלי הבכיר
ההתפתחות המדאיגה ביותר בפעילות של קבוצת Handala בחודשים האחרונים של 2025 אינה נוגעת רק להפלת אתרים או שליחת מסרונים המוניים, אלא לניסיון כירורגי לפגוע בדרג מקבלי ההחלטות בישראל.
ניתוח דפוסי הפעולה האחרונים של הקבוצה, הכוללים את הפריצה המיוחסת למחשב של ראש הממשלה לשעבר נפתלי בנט, מכשירי מקורביו של צחי ברוורמן ואיומים על בכירים נוספים, חושף אסטרטגיה איראנית המכונה בפי מומחים "תקיפת המעגל השני".
בניגוד לדימוי הקולנועי של האקרים הפורצים בזמן אמת למכשירי טלפון מוצפנים של ראשי מדינה, השיטה של Handala פשוטה יותר - ודווקא משום כך מסוכנת יותר. מומחי סייבר בכירים, בהם יוצאי מערכת הביטחון, מסבירים כי הקבוצה הבינה שאין טעם לתקוף ישירות מכשירים "אדומים" (מאובטחים ומסווגים) של הצבא או המוסד. במקום זאת, המאמץ מתמקד במכשירים הפרטיים של עוזרים, יועצים ובני משפחה.
התקיפות אינן מתבצעות בהכרח על המכשיר הפיזי עצמו, אלא על סביבת הגיבוי שלו, למשל בענן או במחשב פרטי, כאשר הפורצים חודרים לשירותי ענן, מחשבים אישיים וגיבויים ישנים שנשמרו ברשלנות. ברגע שהושגה גישה כזו, ניתן לשלוף התכתבויות וואטסאפ, תמונות ויומני פגישות שנשמרו לאורך שנים. ההנחה היא שגם אם המכשיר של הבכיר מוגן, המכשיר של העוזר שמנהל לו את הלו"ז, פחות.
לצד פריצות אמיתיות, Handala מתמחה גם בהפצת דיסאינפורמציה (FUD). דוגמה בולטת לכך היא פרסום טקסטים דרמטיים על ויכוחים פנימיים כביכול בצמרת השב"כ, שהוצגו כמידע מודיעיני. בדיקות העלו כי מדובר בפיברוק שנועד לנצל את המתח הציבורי בישראל.
השיטה ברורה: לוקחים גרעין של אמת (פריצה אמיתית לדרג זוטר או מידע ישן), ועוטפים אותו בשכבות של שקרים דרמטיים כדי לייצר כותרות.
מאקטיביזם לפעילות מדינתית
Handala החלה את פעילותה המשמעותית בשלהי 2023, במקביל לפרוץ מלחמת "חרבות ברזל". בתחילה, הקבוצה נתפסה כעוד גוף "אקטיביסטי" - האקרים אידיאולוגיים שמבצעים התקפות מניעת שירות (DDoS) פשוטות להפלת אתרים. אולם, במהלך 2024 ו-2025, הקבוצה שינתה את עורה.
מומחי אבטחת מידע בישראל ובעולם, כולל חברות כמו Cyberint וצ'ק פוינט, הצביעו על . בניגוד לקבוצות פשיעה רגילות המחפשות כופר כספי (Ransomware), המטרה של Handala היא נזק תדמיתי ותודעתי. השיטה שלהם משלבת יכולות טכניות בינוניות עד גבוהות עם הבנה עמוקה של הפסיכולוגיה הישראלית.
הוד בן נון, מייסד שותף של חברת הסייבר MIND המתמחה בדליפות מידע הסביר בשיחה עם ynet: "חנדלה היא קבוצת האקרים פרו-איראנית, הפועלת בחסות משמרות המהפכה, והפעילות שלה היא חלק מקמפיין תודעתי מתוכנן ולא אירוע נקודתי.
"מדובר בקבוצה שפועלת בשיטה ברורה עם דפוסי פעולה קבועים וזיקה מובהקת לזירה האיראנית. זה ניכר מאופן הכתיבה, בעיתוי ובחיבור הישיר לאירועים אקטואליים. היכולות הטכנולוגיות של קבוצות כמו חנדלה אינן בהכרח יוצאות דופן, אך עצם היכולת להגיע למאגרים רחבים של מידע אזרחי ולא אזרחי ולהציג זאת כהישג, משרתת מטרה ברורה של השפעה על התודעה הציבורית. במהלכים תודעתיים מהסוג הזה, הערך אינו טמון במידע עצמו, אלא בעצם ההגעה אליו".
עוד טוען בן נון כי "אנחנו נמצאים בשנת בחירות, ובמציאות כזו מתקבלת החלטה מודעת מצד קבוצות סייבר להציב גורמים מדיניים ופוליטיים כיעדים מרכזיים, משום שהאפקט הציבורי משמעותי יותר מהתוכן עצמו.
"הפריצה לבנט הייתה רק יריית הפתיחה, וסביר להניח שהמגמה הזו תלווה אותנו בחודשים הקרובים. ניתן כבר לזהות דפוס חוזר: הכחשות מדליקות את השיח מול האיראנים ומעודדות את הדלפת החומרים וגישה למידע אישי גם אם הוא בעל ערך נמוך. עבור האיראנים, הסייבר נתפס כיום כזירת מלחמה נוספת וככלי נוח, זמין ויעיל להשפעה על התודעה בישראל".
ערעור תחושת הביטחון
אחד מאירועי השיא שנצרבו בתודעה הישראלית התרחש בינואר 2025. הקבוצה הצליחה לחדור למערכות של חברת "מאגר-טק" (Maagar-Tec), ספקית ציוד אלקטרוני, והשתלטה על מערכות כריזה במוסדות ציבור.
התוצאה הייתה מצמררת: הפעלת צופרי אזעקה והשמעת מסרים מאיימים בערבית בתוך גני ילדים בישראל. האירוע הזה סימן את Handala לא כקבוצה שמחפשת לגנוב מספרי אשראי, אלא ככזו שמנסה לערער את תחושת הביטחון האישי בעורף.
ההקלטה שהושמעה הבוקר בגני הילדים ומוסדות החינוך ברחבי הארץ
(קרדיט: רשתות חברתיות)
עד דצמבר 2025, הקבוצה רשמה מספר "הישגים" תודעתיים לצד כשלונות טכניים:
- פריצה למשטרת ישראל (פברואר 2025): הקבוצה טענה לגניבת 2.1 טרה-בייט של מידע רגיש. בפועל, כמו במקרים רבים אחרים, המידע שפורסם היה חלקי, ישן או ממוחזר, אך הנזק התדמיתי נעשה.
- איום גרעיני (ספטמבר 2024): הקבוצה טענה כי חדרה לשרתים הקשורים למרכז למחקר גרעיני בשורק. בדיקות של מערך הסייבר הלאומי ומומחים עצמאיים העלו כי מדובר בלוחמה פסיכולוגית וכי לא נגנב מידע מבצעי אמיתי, אך הכותרות בעולם עשו את שלהן.
- מתקפות Wiper (נוזקות מחיקה): לאורך 2024, הקבוצה הפיצה נוזקות הרסניות במסווה של עדכוני אבטחה מחברות לגיטימיות כמו F5 או CrowdStrike. מטרת הנוזקות הייתה למחוק שרתים כליל, טקטיקה שמזכירה את המתקפות ההרסניות על חברת הנפט הסעודית בעשור הקודם.
הילד הקטן בחזית מלחמת הסייבר
במקרה של Handala, השימוש בדמותו של הילד חנדלה גם היא מהווה מסר, כאשר הלוגו של קבוצת ההאקרים מוכר לכל מי שבקיא בפוליטיקה המזרח תיכונית - דמות של ילד קטן, כעוס, שידיו משולבות מאחורי גבו ופניו מוסתרות.
זהו "חנדלה" (Handala), אייקון תרבותי שנולד בכלל בעיתונות בכווית של סוף שנות ה-60, וכעת מוצא את עצמו בחזית מלחמת הסייבר של 2025. השימוש בדמות הזו אינו מקרי; הוא חלק מטקטיקה מחושבת של "הלבנת זהות" שנועדה לשרת את משטר האייתוללות.
את דמותו של חנדלה יצר הקריקטוריסט הפלסטיני נאג'י אל-עלי (Naji al-Ali) בשנת 1969. שמו נגזר מהמילה "חנדל" – צמח מדברי מר, המסמל עקשנות ושרידות בתנאים קשים. לפי אל-עלי, שנרצח בלונדון ב-1987 בנסיבות שנותרו מעורפלות עד היום, חנדלה הוא ילד פליט בן עשר, הגיל שבו עזב אל-עלי את פלסטין ב-1948.
"הוא לא יגדל עד שיחזור למולדתו", הסביר בעבר אל-עלי. העובדה שחנדלה מצויר כמעט תמיד כשהוא מפנה את גבו לצופה מסמלת את מחאתו השקטה נגד העולם, ואת סירובו להביט בפני הצופה עד לפתרון הבעיה הפלסטינית. עם השנים, הדמות יצאה מהדפים והפכה לגרפיטי על חומות בגדה המערבית, לתליונים על צווארם של פעילים, ולסמל אוניברסלי של "צומוד" (עמידה איתנה) והתנגדות.
אז איך הגיע הילד המצויר מהמחנות בלבנון לשרתים של המודיעין האיראני? התשובה טמונה במושג המקצועי False Flag (דגל כוזב). בעולם הסייבר, שיוך (Attribution) הוא שם המשחק. איראן, מדינה בעלת יכולות סייבר מתקדמות, מעוניינת לפגוע בתשתיות ישראליות, מבתי חולים ועד מערכות התרעה, אך נזהרת מלהשאיר טביעות אצבע ישירות שעלולות לגרור תגובה צבאית או סנקציות בינלאומיות חריפות נוספות.
על ידי אימוץ השם והלוגו של סמל פלסטיני מובהק, קבוצת התקיפה האיראנית בונה נרטיב של "האקטיביזם" (Hacktivism). כלומר, לא מדינה ריבונית תוקפת מדינה אחרת, אלא קבוצת אזרחים זועמים הנלחמים למען חירותם.
זהו מסווה מושלם: הוא מעניק לגיטימציה מוסרית לקבוצה ולפעילות שלה בעיני תומכים בעולם, מקשה על הצדקה של תגובה צבאית קונבנציונלית מצד ישראל, ומייצר הזדהות רגשית מיידית ותמיכה ברחוב הערבי.
יש אירוניה מרירה בשימוש שעושה טהראן בדמותו של אל-עלי. הקריקטוריסט המנוח היה ידוע בביקורתו החריפה לא רק כלפי ישראל והמערב, אלא גם כלפי משטרים ערביים ודיקטטורות שניצלו את הסוגייה הפלסטינית לצרכיהן הפוליטיים.
מבחינה טכנולוגית ותודעתית, המיתוג עובד. בשיח ברשתות החברתיות (טלגרם, X), רבים מצרכני התוכן משוכנעים כי מדובר בהתארגנות מקומית מעזה או מהגדה, ולא בקציני מודיעין היושבים במשרדים ממוזגים בטהראן.
חנדלה של 2025 אולי לובש את אותם בגדים בלוים, אבל בידיים (המוסתרות) שלו הוא מחזיק היום מקלדת, והיא מחוברת ישירות לשרתים של משמרות המהפכה.
