Handala-Gruppe nutzt Telegram-Konten für psychologische Kriegsführung

Forensische Analysen zeigen, dass die jüngsten Datenlecks bei israelischen Spitzenpolitikern auf einfache Kontoübernahmen zurückgehen, nicht auf komplexe Handy-Hacks. Die Angriffe zielen auf maximale öffentliche Wirkung.

Eine Serie von Datenlecks bei israelischen Spitzenpolitikern entpuppt sich als gezielte Übernahme von Messenger-Konten – nicht als komplexe Handy-Hacks. Die Iran-verbundene Gruppe setzt auf maximale öffentliche Wirkung mit minimalem technischem Aufwand.

Die „Handala“-Hacktivisten, die mit dem iranischen Geheimdienst in Verbindung gebracht werden, haben ihr Vorgehen verfeinert. Statt wie behauptet iPhones zu knacken, übernehmen sie gezielt Telegram-Konten. Das zeigen forensische Analysen der jüngsten Leaks bei Ex-Justizministerin Ayelet Shaked und anderen. Für Deutschland und die EU ist das ein Warnsignal: Der Fokus der Cyber-Angriffe verschiebt sich von technisch anspruchsvollen Hacks hin zu psychologisch wirksamen Kampagnen mit einfachen Mitteln.

Shaked im Visier: Persönliche Bilder als politische Waffe

Am vergangenen Samstag, dem 3. Januar, eskalierte die Gruppe ihren Feldzug. Unter dem Titel „Die Geheimnisse der Königin“ veröffentlichte sie etwa 60 private Fotos und Videos der ehemaligen Ministerin Ayelet Shaked. Die Bilder zeigten sie mit Familie und Freunden. Die Hacker behaupteten, sie hätten Shakeds iPhone 15 komplett übernommen und besäßen brisante Dokumente. Doch die Beweislage spricht eine andere Sprache.

Es ist bereits der dritte Vorfall dieser Art innerhalb weniger Wochen. Ende Dezember 2025 waren bereits Ex-Premier Naftali Bennett und Netanyahus Stabschef Tzachi Braverman betroffen. Das Muster ist stets dasselbe: Spektakuläre Ankündigungen, gefolgt von persönlich bloßstellenden Leaks – alles über den Messenger Telegram verbreitet.

Forensik entlarvt den Bluff: Kein Geräte-Zugriff

Die Cyber-Intelligence-Firma KELA hat die Behauptungen der Hacker einer technischen Prüfung unterzogen. Das Ergebnis ist eindeutig: Bei dem als „Operation Octopus“ vermarkteten Leak zu Naftali Bennett handelte es sich nicht um einen Zugriff auf das Smartphone selbst.

Die Hacker veröffentlichten angebliche 1.900 Chat-Verläufe. Die Forensiker fanden jedoch hauptsächlich leere Kontaktkarten – ein typisches Artefakt, wenn sich ein Telegram-Konto auf einem neuen Gerät anmeldet und die Kontaktliste synchronisiert. Nur etwa 40 Dateien enthielten echte Nachrichten. Diese spezifische Datenstruktur ist der Fingerabdruck einer simplen Konto-Übernahme, nicht einer komplexen System-Infiltration.

Passend zum Thema Telegram-Konto-Übernahmen: Viele Nutzer wissen nicht, wie man die Cloud-Absicherung bei Telegram richtig einrichtet. Ein kostenloses Telegram-Startpaket erklärt in einem klaren PDF-Report Schritt für Schritt, wie Sie ein Cloud‑Passwort setzen, Nummern verbergen und die wichtigsten Datenschutz-Einstellungen aktivieren – einfache Maßnahmen, die Session-Hijacking und SIM‑Swap-Angriffe deutlich erschweren. Jetzt Telegram-Startpaket anfordern

„Wären die Geräte selbst kompromittiert worden, sähe die Datenlage fundamental anders aus“, so ein Analyst. „Es fehlen systemrelevante Dateien völlig.“ Der Angriff zielte also auf die schwächste Stelle: den Zugang zum Cloud-basierten Messenger-Konto.

Psychologische Kriegsführung mit maximaler Wirkung

Experten beschreiben die Vorgehensweise als klassische „Hack-and-Leak“-Kampagne. Die technische Tiefe ist zweitrangig, der narrative Impact entscheidend. Durch martialische Namen wie „Bibi Gate“ oder „Operation Octopus“ schürt die Gruppe politische Verunsicherung und öffentliche Scham.

Im Fall Braverman drohten die Hacker mit der Veröffentlichung von Korruptionsbeweisen. Das Büro des Premierministers wies dies zurück, und Analysen legen nahe, dass die „belastenden“ Dokumente aus dem Medienverlauf des Telegram-Kontos stammten und aufgebauscht wurden. Bennett selbst räumte später ein, dass zwar sein Gerät sicher sei, sein Telegram-Account aber unrechtmäßig genutzt wurde – eine entscheidende Differenzierung.

Die direkte Ansprache und Demütigung von Shaked in den Posts dient einem klaren Ziel: den Eindruck allumfassender Kontrolle und Überlegenheit zu erwecken. Die eigentliche Schwachstelle ist nicht die Technik, sondern der Mensch und seine Sicherheitsgewohnheiten.

So funktioniert die Telegram-Konto-Übernahme

Die Angriffe nutzen bekannte Schwachstellen in der Absicherung von Messenger-Diensten. Statt aufwändige Zero-Day-Lücken in iOS oder Android zu exploitieren, setzt Handala auf Session Hijacking.

Häufige Angriffsvektoren sind:
* SIM-Swapping: Angreifer überreden oder bestechen Mitarbeiter von Mobilfunkanbietern, die Handynummer des Opfers auf eine von ihnen kontrollierte SIM-Karte umzuleiten. So erhalten sie den SMS-Verifizierungscode.
* SS7-Exploits: Schwachstellen im globalen Telekommunikations-Netzwerk SS7 werden genutzt, um SMS-Nachrichten abzufangen.
* Phishing und Malware: Opfer werden auf gefälschte Login-Seiten gelockt oder laden Malware herunter, die Sitzungstoken stiehlt.

Sind die Angreifer einmal im Konto, können sie den gesamten Chat-Verlauf, Medien und Kontakte herunterladen – genug Material für eine medienwirksame Enthüllung, ohne jemals das Betriebssystem des Handys berührt zu haben.

Zwei-Faktor-Authentifizierung als wirksamster Schutz

Angesichts der anhaltenden Kampagne drängen Sicherheitsexperten gefährdete Personen zu strikterer Cyber-Hygiene. Der wirksamste Schutz gegen Konto-Übernahmen ist die Zwei-Schritt-Verifizierung bei Telegram („Cloud-Passwort“).

Im Gegensatz zur SMS-basierten Bestätigung, die abgefangen werden kann, erfordert diese ein statisches Passwort für jede neue Anmeldung. Diese einfache Maßnahme hätte die jüngsten Angriffe sehr wahrscheinlich verhindert.

Die Prognose der Analysten ist klar: Hacktivistengruppen werden weiter auf solche „weichen“ Ziele setzen. Cloud-Konten und Messenger bieten eine hohe mediale Ausbeute für vergleichsweise geringen technischen Aufwand. Die Fähigkeit, einen simplen Account-Login in eine Schlagzeile über einen „Staatshack“ zu verwandeln, zeigt: Im modernen Cyberkrieg ist die erzählte Geschichte oft genauso gefährlich wie die Schadsoftware selbst. Da die israelische politische Elite weiter im Fokus steht, rechnen Experten in den kommenden Wochen mit weiteren Enthüllungen.

PS: Sie wollen sofort aktiv werden? Das kostenlose Telegram-Startpaket liefert einen kompakten PDF-Guide mit konkreten Schritten — von Cloud-Passwort und geheimen Chats bis zu Benachrichtigungs- und Sichtbarkeitseinstellungen. In wenigen Minuten umgesetzt reduziert das Paket deutlich das Risiko von Kontoübernahmen und schützt Ihre Privatsphäre. Telegram-Startpaket gratis herunterladen