伊朗黑客头目被”物理点名”后：一场跨越虚拟与现实的复仇大戏

导语：这事儿吧，得从两边儿看。2026年3月初，美国和以色列来了波”物理打击”，把伊朗情报部（MOIS）的两名网络战大佬给送走了。外界一度以为伊朗黑客这下该消停了。结果呢？不到一周，Handala 组织就直接把手伸向了全球医疗器械巨头史赛克（Stryker），20万台设备被远程”出厂重置”，数据直接归零。这场大戏告诉我们：网络世界里，物理消灭一个节点，可能只是点燃了下一个炸药桶。

一、”咆哮之狮”：物理点名与黑客头目归西

1.1 这波打击，精准到位

2026年3月初，为了回应地区局势升级，美国和以色列对伊朗境内目标发动了代号为**”咆哮之狮”（Operation Roaring Lion）**的空袭。这次打击的目标不是别的，正是伊朗情报与安全部（MOIS）的老巢。

根据《伊朗国际》、Forbes、Fox News 等多家媒体报道，这次行动非常成功——一口气干掉了两名伊朗网络战的核心人物。

第一位：穆罕默德·迈赫迪·法哈迪·拉明（Mohammad Mehdi Farhadi Ramin）

• 40岁左右（1986年出生），长期以”Mehdi Mahdavi”等化名活动
• 2020年9月被美国司法部正式起诉，罪名是大规模网络间谍活动
• 这哥们儿自2013年起，就带着他的团队（包括同伙 Hooman Heidarian）开始搞事情
• 他们的”战果”：窃取了数百TB的敏感数据，包括美国航天、国防承包商、核能研究机构，还有多所大学的机密
• 擅长技术：会话劫持（Session Hijacking）和 SQL 注入攻击——老派但实用
• 2026年3月初，这哥们儿在伊朗哈马丹（Hamadan）市的美以联合空袭中领了盒饭，葬礼于3月9日举行

第二位：赛义德·叶海亚·侯赛尼·潘贾基（Saeed Yahya Hosseini Panjaki）

• 这位更狠，是伊朗情报部副部长，直接领导”国内安全局”
• 还专门负责针对以色列的事务，被安全专家称为”双面手”——既能策划网络攻击，又能指挥海外暗杀
• 他被认为是 Handala、Karma、以及针对阿尔巴尼亚的 Homeland Justice 等黑客组织的幕后总指挥
• 2024年因策划针对欧洲和美国境内伊朗异议人士的暗杀阴谋，被美国财政部制裁
• 2025年5月，FBI 正式将其列入通缉名单，悬赏获取信息
• 同样在2026年3月初的空袭中 GG

 # 图片版权 华盟网

二、复仇开始：Handala 的”史诗级”操作

2.1 目标：全球医疗器械巨头 Stryker

本以为两名大佬挂了，伊朗黑客组织该树倒猢狲散了。结果大家还是太年轻。

就在领导人被”物理点名”后不久，Handala 组织迅速发动了大规模报复行动。目标选得很讲究——Stryker（史赛克），全球排名前列的医疗器械公司，年营收超过190亿美元，员工遍布79个国家。

这波攻击有多猛？Handala 直接在 Telegram 上放话：“这只是新篇章的开始”（the beginning of a new chapter in cyber warfare）。

2.2 攻击手法：Intune 权限偷取

根据 TechCrunch、SecurityWeek、Cybersecurity Dive 等多家安全媒体的报道，Handala 这次的操作堪称”教科书级别”：

1. 突破方式：不是靠什么高级 0day，而是搞到了 Stryker 内部管理员账号
2. 长驱直入：这个管理员账号权限极大，直接控制了 Stryker 的 Windows 网络
3. 夺取 Intune：Microsoft Intune 是企业设备管理系统本来是方便 IT 管理员远程管理员工电脑和手机的——比如员工手机丢了可以远程删除数据
4. 反客为主：黑客控制了 Intune 后，向全球 20万台 联网设备（包括笔记本、iPhone、安卓手机）下达了远程出厂重置指令

 # 版权：本文配图

2.3 战果：79个国家办事处被瘫痪

• Handala 声称删除了 12 PB（约12,000 TB）的数据
• 行业分析认为 12 PB 可能是他们访问的总存储容量，实际删除量可能没这么夸张
• Stryker 内部证实：79个国家的办事处被迫关闭
• 员工开机时看到的不是登录界面，而是 Handala 组织的 Logo
• 据报道，黑客还窃取了约 50 TB 的数据

Stryker 在监管文件中承认，其电子订单系统至今仍无法使用。TechCrunch 报道称，FBI 已经在行动后查封了 Handala 的多个网站，但这波攻击造成的损失短期内难以恢复。

三、技术细节：这次他们用了什么”新活儿”？

3.1 AI 辅助写病毒：VoidLink 来了

这起事件中最让安全圈警惕的，是 AI 辅助恶意软件 的登场。

以色列 Check Point 公司分析发现，Handala 组织使用了一种名为 VoidLink 的 Linux 恶意软件。关键点来了：

• VoidLink 是用 大语言模型（LLM） 在”几周内”开发出来的
• 这意味着：攻击者不需要传统意义上的”黑客团队”，只需要会写提示词就行
• VoidLink 能自动规划、结构化并执行复杂的攻击任务
• 专门针对 云环境、容器和内核级别 的隐藏持久化

Check Point 研究员直言：“这标志着 AI 生成恶意软件的时代已经到来”

3.2 星链翻墙：断了网也能搞事情

另一个让人大跌眼镜的细节是：伊朗黑客用星链（Starlink）上网。

• 2026年2月起，伊朗全国互联网被切断
• 但 Handala 成员通过非法走私的 SpaceX 星链终端保持在线
• 据 Forbes 报道，伊朗境内约有 30,000 个星链终端在运行
• 这些终端本该被伊朗政府封禁，但因为种种原因（你懂的），始终禁不掉

讽刺的是，最初是美国政府偷偷往伊朗境内运送星链设备，想让当地民众能够”翻墙”上网。结果这波操作反而让伊朗黑客捡了个大便宜——在断网环境下依然能保持高速互联网连接，继续搞事情。

 # 版权：本文配图

3.3 身份劫持：管理员权限才是王道

这次攻击还有一个值得所有企业警惕的特点：不靠漏洞，靠偷管理员账号。

• 传统的网络攻击往往依赖软件漏洞
• Handala 这次直接奔着高权限管理员身份去
• 一旦拿到 Intune 这种企业级管理工具的控制权，破坏力等同于一枚物理巡航导弹

安全专家 Kevin Beaumont（也就是发现这事的知名安全博主）直言：“企业设备管理系统被劫持，这事儿太可怕了”

四、多线作战：不仅针对美国

4.1 Homeland Justice：阿尔巴尼亚议会也遭殃

就在 Stryker 被攻击的同时，另一个与潘贾基相关的组织 Homeland Justice（国土正义）也没闲着。

• 他们攻击了阿尔巴尼亚议会
• 起因是阿尔巴尼亚长期支持伊朗反政府组织 MEK
• 后果：议会邮件系统彻底瘫痪，大量内部通讯被泄露到 Telegram
• 阿尔巴尼亚一怒之下，通过决议将伊朗列为**”恐怖主义支持者”**

4.2 组织关系一览

五、紫队视角：这场大戏给我们什么启示？

5.1 物理打击 vs 网络报复：谁更快？

红队（攻击方）这波操作我给满分——

• 老大被炸死了，组织不仅没散，反而被激发了斗志
• 报复来得又准又狠，直接挑了个美国企业开刀
• 20万台设备被格式化，这破坏力不比巡航导弹差

蓝队（防守方）这边呢——

• Intune 这种企业级管理工具，一旦被偷，危害巨大
• 传统的”修漏洞”思路已经不够看了，身份和权限管理才是关键
• AI 写病毒这事儿，意味着以后攻击门槛会越来越低

5.2 企业应该怎么办？

1. 管理员权限：严格限制 Intune、AD 等高权限工具的访问
2. 多因素认证：别让一个账号就能通吃
3. 权限分级：别给管理员账号”太大”的权力
4. 监控异常：一旦发现 Intune 有异常操作，立刻拉闸
5. 离线备份：关键数据要有”物理备份”，别全靠云

六、总结：混合战争的”新常态”

这起事件给我们的最大启示是：网络战争已经进入”混合战争”时代。

• 物理打击可以消灭”大脑”，但无法立即关闭网络战的开关
• AI 辅助攻击让恶意软件的开发速度指数级提升
• 星链等卫星互联网技术让地理边界彻底失效
• 企业级管理工具（如 Intune）一旦被劫持，破坏力相当于一枚巡航导弹

用一句话总结：这事儿两边儿看都有理，但最终苦的还是普通企业和老百姓。Stryker 的员工招谁惹谁了？设备被格式化，业务受影响，锅还得自己背。

不过对于我们这些看客来说，这确实是近年来最精彩的一场”大戏”——红蓝双方都在秀操作，就看谁能笑到最后了。

相关阅读推荐：

• TechCrunch：Stryker 遭攻击详情^[1]
• Check Point：Handala 组织分析^[2]
• Forbes：星链被伊朗黑客使用^[3]
• WIRED：Handala 成为伊朗黑客面孔^[4]

引用链接