В пресс-релизе, опубликованном в четверг, Министерство юстиции США заявило, что Министерство разведки и безопасности Ирана (MOIS) управляет группой Handala. Министерство юстиции охарактеризовало эту группу как фальшивую активистскую личность, которую иранское министерство использовало для проведения "психологических операций" против врагов режима, для взятия на себя ответственности за кибератаки и для публикации украденной информации, полученной в результате этих взломов. Группа также призывала к убийству журналистов, диссидентов режима и израильтян, согласно заявлению Министерства юстиции. Объявление было сделано через несколько часов после того, как ФБР конфисковало два веб-сайта, связанных с Handala, как первым сообщил TechCrunch. Группа использовала эти сайты для обнародования своих предполагаемых кибератак, а также для публикации личной информации десятков людей, которые якобы работали на израильскую армию и оборонные подрядчики.
Handala взяла на себя ответственность на своем веб-сайте за кибератаку 11 марта на компанию Stryker, в ходе которой хакеры удаленно стерли данные на десятках тысяч устройств сотрудников. Хакеры заявили, что нарушение было ответом на авиаудар США по иранской школе, в результате которого, по данным иранских властей, погибло 168 детей. Директор ФБР Каш Патель был процитирован в пресс-релизе Министерства юстиции, где он заявил, что ФБР "уничтожило четыре столпа их операции, и мы на этом не остановимся". Помимо двух веб-сайтов, использованных Handala, Министерство юстиции также конфисковало два других домена, которые якобы использовались MOIS Ирана через другую хактивистскую личность, называющую себя "Justice Homeland" или "Homeland Justice". Министерство юстиции обвинило иранских государственных хакеров в использовании этих двух доменов для взятия на себя ответственности за взлом албанского правительства в 2022 году, в результате которого были отключены серверы правительства и украдены конфиденциальные данные. Microsoft также связала атаку на албанское правительство с MOIS.
В аффидевите, поданном в суд для поддержки конфискации веб-сайтов Handala, ФБР заявило, что Handala, Justice Homeland и другая хактивистская личность под названием Karma Below "являются частью одного и того же заговора, поскольку они управляются одними и теми же лицами". Handala ответила на заявление Министерства юстиции в сообщении, опубликованном на своем официальном канале в Telegram, где хакеры назвали действия правительства США "ничем иным, как последними отчаянными попытками Соединенных Штатов и их союзников заглушить голос Handala". Исследователь кибербезопасности из DomainTools Кит О'Нил сообщил TechCrunch, что Handala уже создала новые домены, которые еще не были конфискованы.
Хакерская группа не ответила на запрос о комментарии, отправленный на учетную запись чата, опубликованную хакерами, а также на адрес электронной почты, указанный Министерством юстиции в его аффидевите. Представитель Постоянной миссии Ирана при ООН не ответил на запрос TechCrunch о комментарии. Компания Stryker также не ответила на запрос о комментарии. Алекс Орлеан, глава отдела анализа угроз в Sublime Security, который отслеживает иранских хакеров на протяжении многих лет, сказал TechCrunch, что возможно, что люди, стоящие за личностью Handala, не являются теми же самыми, кто непосредственно занимается хакерскими атаками. "Handala не обязательно равняется, один к одному, с теми, кто проводит действия, за которые она берет на себя ответственность", сказал Орлеан. "Могут быть несколько команд, занимающихся фактическими вторжениями, в то время как отдельная команда отвечает за поддержание личности — и все эти отдельные элементы могут сосуществовать в рамках более крупного единого элемента MOIS". "Существует уровень непрозрачности, который может быть трудно преодолеть", добавил он.