从心理战和数据泄露到实质性工业破坏的质变已经发生。在伊朗常规军事反击能力受限的背景下,网络攻击几乎成了成本最低、见效最快的不对称反制手段。
目标人物
Sima Shine 并非一般人物,她是以色列对伊情报分析链条上最核心的公开面孔之一:

尽管离开摩萨德已近20年,但她在智库层面持续深度参与伊朗议题,频繁出席斯坦福大学、卡内基国际和平基金会等国际安全论坛。
攻击时间线
此次泄露不是孤立事件,而是Handala对INSS发动的系统性连续打击中的第四波:

攻击者间隔数天、逐个目标释放数据,旨在最大化心理打击效果和媒体关注周期,这是典型信息战节奏控制手法。
为什么是INSS?
Handala选择集中火力打击INSS,而非直接攻击摩萨德或Aman的行动网络,这背后可能反映出多层考量。作为半官方智库,其人员使用的是民用信息基础设施,安全防护等级远低于军事情报机构的内部网络。但INSS的研究人员——尤其是像Shine、Zimmt、Hayman这类从情报机构退役后转入智库的资深人物——其通信记录和工作往来中可能涉及大量现役情报官员、外国合作伙伴和敏感议题的讨论。攻击智库是一条“性价比”极高的路径:技术门槛相对较低,但潜在情报收益和心理打击效果却可能非常大。
谁在幕后?
多家独立威胁情报厂商的评估已高度收敛,Handala并非草根黑客组织:

伊朗独立调查记者Nariman Gharib与Iran International电视台在2025年8月的联合调查中,进一步将指挥链追溯到MOIS反恐部门副部长Seyed Yahya Hosseini Panjaki,并曝光了Handala频道管理员Ali Bermoode的身份。据Check Point报告,Panjaki据报在2026年3月初以色列对伊空袭中身亡。
Check Point还观察到一个值得注意的技术细节:战争爆发后Handala的操作安全性明显下滑——此前通过商业VPN伪装出口流量,近期多次从伊朗IP直连受害者网络,伊朗断网后甚至开始使用Starlink IP段。
可信度校準
暗网数据泄露有一个精准的评估框架:
“当他们声称做了什么事情的时候,确实发生了一些事情,但不会达到他们描述的那个程度,存在夸大成分。”

为什么是现在公布?
2026年2月28日美以联合发动Operation Epic Fury之后,伊朗关联网络行动急剧升级。Sophos CTU和Intel 471均记录到亲伊朗黑客行动主义生态系统的全面激活。
Handala的目标扩展路径一目了然:

从心理战和数据泄露到实质性工业破坏的演变正在进行。在伊朗常规军事反击能力受限的背景下,网络攻击几乎成了成本最低、见效最快的不对称反制手段。任何与以色列有商业关联的西方企业现在都是潜在目标。
