Negli attacchi rivendicati dal collettivo Handala tra la fine del 2025 e l’inizio del 2026, il dato non è più soltanto l’obiettivo finale dell’intrusione, ma diventa un mezzo narrativo, un’arma semiotica utilizzata per costruire consenso, intimidire e orientare il dibattito pubblico. Analizzando in sequenza temporale tutti i post pubblicati dal gruppo e oggi integralmente recuperati e catalogati all’interno di Ransomfeed, emerge una strategia che si discosta in modo netto dal ransomware tradizionale a scopo economico e si colloca in una zona ibrida tra hacktivism, information warfare e pressione psicologica mirata.
Handala non cerca il colpo spettacolare fine a sé stesso. Le intrusioni, per quanto tecnicamente rilevanti, sono solo il primo stadio di una catena di eventi che prosegue con il rilascio selettivo dei dati, la loro contestualizzazione politica e una costruzione accurata del messaggio. Nei post analizzati, il dato esfiltrato non viene quasi mai pubblicato in forma grezza. Al contrario, viene frammentato, annotato, accompagnato da screenshot, timestamp, riferimenti interni ai sistemi violati e, in alcuni casi, da correlazioni esplicite con eventi geopolitici contemporanei. È un uso del leak come strumento di storytelling, dove l’attaccante guida la lettura del materiale sottratto e ne anticipa l’interpretazione.
Dal punto di vista tecnico, le intrusioni attribuite a Handala mostrano una predilezione per superfici d’attacco poco visibili ma strutturalmente critiche: portali legacy esposti, servizi di gestione documentale non aggiornati, interfacce API scarsamente monitorate. In diversi casi, l’accesso iniziale sembra avvenire attraverso credenziali compromesse o vulnerabilità note non mitigate, segno che la fase di ricognizione OSINT gioca un ruolo centrale nella selezione dei target. Tuttavia, ciò che distingue Handala non è tanto l’exploit utilizzato quanto la gestione post-compromissione. L’esfiltrazione appare mirata, con dataset circoscritti che massimizzano il valore simbolico dell’informazione sottratta riducendo il rumore operativo.
Il social engineering e lo spear-phishing restano i cavalli di battaglia per ottenere credenziali e codici OTP (One-Time Password). Un altro pattern consolidato è il furto di sessioni attive di Telegram Desktop da workstation già compromesse. Se un attaccante mette le mani su un file di sessione valido, può agire come un utente legittimo senza bisogno di exploit sofisticati sul dispositivo mobile. Infine, l’anello spesso più debole: l’accesso non autorizzato a backup cloud o ambienti di sincronizzazione. La superficie d’attacco si allarga dagli endpoint primari a tutta la catena di servizi e abitudini digitali che orbitano attorno a un decisore.
La dimensione intimidatoria emerge soprattutto nella temporalità delle pubblicazioni. I post non seguono una logica di dump massivo, ma una cadenza studiata, spesso sincronizzata con momenti di tensione mediatica o istituzionale. Questo ritmo, ricostruibile grazie alla timeline completa disponibile su Ransomfeed, suggerisce un controllo consapevole dell’attenzione e una volontà di mantenere il target in uno stato di pressione prolungata. È una tecnica che richiama più le operazioni di influenza che le classiche campagne di estorsione digitale.
Un elemento ricorrente nella comunicazione di Handala è l’assenza quasi totale di richieste economiche esplicite. Il messaggio non è “pagate o pubblichiamo”, ma “guardate cosa sappiamo di voi”. In questo senso, il dato perde valore come merce e lo acquisisce come prova di vulnerabilità sistemica. La minaccia non è la perdita economica immediata, ma l’erosione della credibilità, soprattutto per organizzazioni che basano la propria legittimità sulla protezione delle informazioni e sulla resilienza infrastrutturale.
L’analisi incrociata dei post evidenzia anche una forte coerenza linguistica e simbolica. Loghi, slogan, riferimenti iconografici e lessicali vengono riutilizzati in modo sistematico, contribuendo a costruire un’identità riconoscibile e persistente. È un branding operativo che rafforza la percezione di continuità e affidabilità del gruppo agli occhi dei suoi sostenitori e, al tempo stesso, amplifica l’impatto psicologico sui bersagli. In questo contesto, la piattaforma di rivendicazione diventa parte integrante dell’attacco, non un semplice canale di comunicazione.
Ransomfeed, attraverso la normalizzazione e l’archiviazione strutturata di tutti i contenuti pubblicati da Handala, consente di osservare questo fenomeno in una prospettiva longitudinale, mettendo in luce pattern che altrimenti resterebbero frammentati. La possibilità di correlare tempi di pubblicazione, tipologia di dati esposti e reazioni pubbliche offre una chiave di lettura più ampia sul modo in cui alcune minacce contemporanee operano al confine tra cyberspazio e sfera informativa.
Per chi si occupa di cybersecurity avanzata, questo implica la necessità di estendere l’analisi oltre gli indicatori tecnici e includere la dimensione comunicativa dell’attacco. Perché oggi, più che mai, la vera superficie d’attacco è la percezione.