void-manticore - RunkIntel

# Void Manticore > [!warning] Resumo > Ator destrutivo iraniano afiliado ao MOIS, operando sob a persona hacktivista "Handala". Responsável por wipe de ~200.000 dispositivos Stryker via abuso de Microsoft Intune, representando uma nova fronteira em ataques destrutivos via SaaS. ## Visão Geral O **Void Manticore** é um ator de ameaça **patrocinado pelo estado iraniano**, afiliado ao **Ministério de Inteligência e Segurança (MOIS)**, específicamente à Divisão de Contraterrorismo. O grupo opera públicamente sob a persona hacktivista **"Handala"** (e variantes HandalaTeam, Handala Hack), mas funciona como **"faketivista"** - ator estatal disfarçado de hacktivista. Observado pela primeira vez em **dezembro de 2023**, o Void Manticore conduz **ataques destrutivos** combinados com operações de **hack-and-leak** para impacto psicológico e propaganda. O grupo colabora com o **[[scarred-manticore]]** (Storm-0861, subcluster do APT34) para acesso e capacidades. O Void Manticore também opera sob a identidade **"Homeland Justice"** em operações contra a Albânia. Em março de 2026, o supervisor do grupo, Seyed Yahya Hosseini Panjaki, foi morto em ataques israelenses. ## Attack Flow ```mermaid graph TB A["Phishing / Creds Roubo de Admin"] --> B["Web Shell Karma Shell"] B --> C["RDP Lateral Rede Interna"] C --> D["SaaS Hijack Microsoft Intune"] D --> E["Factory Reset 200K Dispositivos"] E --> F["Propaganda Telegram Leak"] classDef vermelho fill:#e74c3c,stroke:#c0392b,color:#fff classDef laranja fill:#f39c12,stroke:#e67e22,color:#fff classDef azul fill:#3498db,stroke:#2980b9,color:#fff class A,B vermelho class C,D laranja class E,F azul ``` **Legenda:** Roubo de credenciais administrativas seguido de web shell para persistência, movimentação lateral via RDP, abuso de plataformas SaaS (Intune) para factory reset em massa de dispositivos e operações de propaganda via Telegram sob persona Handala. ## Táticas, Técnicas e Procedimentos (TTPs) O grupo enfatiza **operações destrutivas rápidas** com ferramentas off-the-shelf e LOLBins: - **Acesso Inicial**: Phishing/roubo de credenciais, exploração de servidores web/VPN não patcheados, engenharia social, abuso de conta admin Microsoft Intune ([[t1078-valid-accounts|T1078]]) - **Execução/Persistência**: [[t1059-command-and-scripting-interpreter|PowerShell]], scheduled tasks ([[t1053-scheduled-task-job|T1053]]), web shells ([[t1505-server-software-component|T1505]]) - "Karma Shell" para directory listing, criação de processos, upload - **Movimentação Lateral**: RDP ([[t1021-remote-services|T1021]]) - **Impacto Destrutivo**: Wipers múltiplos (JustMbr, [[bibiwiper]]), deleção manual (`del /f /s /q C:\Windows\System32`), destruição de MBR ([[t1561-disk-wipe|T1561]]), factory reset via Intune ([[t1485-data-destruction|T1485]]) - **Evasão**: Uso de serviços underground para acesso e malware ([[t1562-impair-defenses|T1562]]) - **Propaganda**: Vazamentos via Telegram e leak sites ## Campanhas Notáveis | Data | Campanha | Detalhes | |------|---------|----------| | Dez 2023 | Primeiras operações | Ataques destrutivos pós-7 de outubro contra Israel | | 2024 | Albânia (Homeland Justice) | Comprometimento da Agência Nacional de Informação e sistema TIMS de fronteira | | 2024 | Israel | Múltiplas intrusões com web shells e wipers | | 11 Mar 2026 | **[[void-manticore-stryker-wipe-2026\|Stryker Corporation]]** | Comprometimento de conta admin [[microsoft-intune\|Microsoft Intune]]; factory reset de **~200.000 dispositivos** globalmente; sem malware implantado - abuso puro de SaaS; telas substituídas por logo Handala; disrupção de sistemas cirúrgicos/monitoramento | | 20 Mar 2026 | FBI seizure | Leak site apreendido pelo FBI | | Mar 2026 | Panjaki morto | Supervisor do grupo morto em ataques israelenses | ## Infraestrutura e Ferramentas | Ferramenta | Tipo | Uso | |-----------|------|-----| | [[bibiwiper]] | Wiper customizado | Destruição de dados em alvos israelenses | | [[justmbr]] | Wiper MBR | Destruição de Master Boot Record | | [[karma-shell]] | Web shell | Directory listing, criação de processos, upload de arquivos | | Microsoft Intune | SaaS legítimo (abusado) | Factory reset em massa de dispositivos (Stryker) | | `del`, `format`, `diskpart` | LOLBins Windows | Deleção manual e formatação | | Telegram | Comúnicação | Propaganda e vazamento de dados | ## Alvos e Setores O Void Manticore ataca primariamente [[Israel]] (múltiplas intrusões cronometradas com eventos geopolíticos), [[government]]/[[telecommunications|telecomúnicações]] na Albânia (Homeland Justice), e recentemente **[[healthcare|tecnologia médica]]** nos EUA (Stryker). A expansão para alvos americanos e o abuso de plataformas SaaS (Intune) representam uma **evolução significativa** nas capacidades destrutivas iranianas. ## Relevância para o Brasil e LATAM Void Manticore NÃO atacou ainda LATAM, mas sua evolução é extremamente relevante. O grupo demonstra: 1. Escalação de ataques puramente destrutivos (wipers) para abuso de SaaS empresarial (Intune) 2. Capacidade de comprometer contas administrativas de plataformas cloud que gerenciam centenas de dispositivos 3. Foco em infraestrutura crítica (saúde - Stryker) que pode ser transferida a setores críticos brasileiros Se Void Manticore ou grupos iranianos similares dirigem ataque a Brasil (defesa, petróleo, saúde), o padrão será comprometer conta admin de serviço cloud centralizado (Intune, Google Workspace, AWS SSO) e disparar factory reset em massa de TODOS os dispositivos simultaneamente. Organizações brasileiras com gestão centralizada em SaaS devem assumir que "um ataque" = "centenas de dispositivos perdidos em paralelo". ## Indicadores de Comprometimento (IoCs) - Web shells "Karma Shell" em servidores comprometidos - Wipers BibiWiper e JustMbr - Factory resets em massa via Microsoft Intune não autorizados - Substituição de telas de login por logo Handala - Atividade em novos canais Telegram do grupo ## Referências - [Check Point - Handala Hack: Unveiling Group's Modus Operandi (2026)](https://research.checkpoint.com/2026/handala-hack-unveiling-groups-modus-operandi/) - [Check Point - Bad Karma, No Justice: Void Manticore (2024)](https://research.checkpoint.com/2024/bad-karma-no-justice-void-manticore-destructive-activities-in-israel/) - [Unit 42 - Handala Hack Wiper Attacks](https://unit42.paloaltonetworks.com/handala-hack-wiper-attacks/) - [Obsidian Security - Iran Hacktivist Group Handala Weaponizes Microsoft Intune](https://www.obsidiansecurity.com/incident-watch/iran-hacktivist-group-handala-weaponizes-microsoft-intune) - [ShieldWorkz - Handala: Anatomy of Iran's Most Destructive Threat Actor](https://shieldworkz.com/blogs/handala-anatomy-of-iran-s-most-destructive-threat-actor)