tirto.id - Ia berdiri membelakangi dunia. Rambutnya tajam dan jarang-jarang. Kakinya telanjang tanpa alas kaki. Pakaiannya compang-camping. Namanya Handala, bocah pengungsi berusia sepuluh tahun yang tidak pernah tumbuh dewasa, tidak pernah berbalik menghadap pembaca, dan tidak akan melakukannya sampai ia bisa pulang ke tanah airnya.

Handala diciptakan oleh kartunis Palestina bernama Naji al-Ali pada 1969, dua tahun setelah Perang Arab-Israel 1967.

Nama karakter tersebut diambil dari tanaman bernama handal, tumbuhan pahit, berakar dalam, dan selalu tumbuh kembali meski dicabut. Seperti asal usul muasal namanya, hingga hari ini, ia menjadi simbol perjuangan serta perlawanan Palestina terhadap pendudukan Israel.

Handala pertama kali berdiri membelakangi pembaca pada 1973, setelah Perang Yom Kippur, ketika ada tekanan dari berbagai negara, termasuk AS, untuk mencapai penyelesaian konflik. Dengan membalikkan punggung Handala ke dunia, al-Ali mengekspresikan penolakannya terhadap solusi yang dipaksakan oleh negara-negara asing kepada rakyat Palestina. Bocah itu diam, tapi tahu segalanya.

Kurang lebih lima dekade kemudian, figur bocah itu muncul kembali.

Nama Handala dipakai oleh gerakan solidaritas Palestina, International Freedom Flotilla Coalition (FFC), yang sejak 2010 berlayar menantang blokade Israel terhadap Gaza, untuk menamai sebuah kapal kecil sepanjang 18 meter yang digunakan untuk misi kemanusiaan. Kapal itu bertolak dari Oslo, Norwegia, pada April 2023, dan menyinggahi berbagai pelabuhan Eropa dengan misi ganda: menantang pengepungan Gaza dan menyuarakan perlindungan anak-anak Palestina korban konflik.

Kapal itu akhirnya menyita perhatian internasional secara luas tatkala dicegat oleh Israel. Semua orang di kapal tersebut ditangkap, ditahan, meski akhirnya dibebaskan.

Tak lama setelah digunakan oleh Freedom Flotilla, pada Desember 2023, nama Handala muncul dalam dunia yang sama sekali berbeda. Dunia perang siber.

Handala Hack pertama kali muncul pada 18 Desember 2023, dengan meluncurkan akun Telegram dan X/Twitter secara bersamaan. Kelompok ini hadir beberapa pekan setelah serangan Hamas pada 7 Oktober 2023 dan memosisikan diri dalam gelombang aktivitas peretas pro-Palestina. Nama dan ikon visual kelompok tersebut mengacu pada karakter kartun ciptaan Naji al-Ali, dari tampilan situs web yang dirusak hingga propaganda di Telegram.

Di permukaan, Handala Hack tampak seperti gerakan akar rumput digital yang membela Palestina. Akan tetapi, sejumlah pengamat keamanan siber menilai, Handala merupakan persona siber yang dioperasikan oleh Kementerian Intelijen dan Keamanan Iran (MOIS).

Dalam industri keamanan siber, kelompok tersebut juga dikenal dengan nama Void Manticore, Red Sandstorm, dan Banished Kitten; semua merujuk pada aktor yang sama yang berafiliasi dengan MOIS. Berbeda dari kelompok besutan IRGC (Korps Garda Revolusi Iran) seperti CyberAv3ngers, Handala beroperasi di bawah cabang intelijen sipil Iran, bukan militer.

Sebelum ada nama Handala, kelompok terafiliasi MOIS itu pertama terdeteksi pada 2022. Kala itu mereka menggunakan nama Homeland Justice untuk menyerang lembaga pemerintah Albania dengan malware penghancur data, yang diduga merupakan respons atas keputusan Albania menampung kelompok oposisi Iran, Mojahedin-e-Khalq. Setelah serangan Hamas pada Oktober 2023 dan aksi militer Israel di Gaza, Void Manticore ditengarai membuat sub-kelompok Handala khusus untuk menyerang target Israel menggunakan payung perjuangan pro-Palestina.

Untuk memahami alasan kelompok seperti Handala bisa beroperasi dan bahkan makin agresif, kita perlu melihat konteks lebih besar. Bahwasanya dalam perang modern, perang siber tak bisa dipisahkan dari konflik fisik.

Pada dini hari 28 Februari 2026, AS bersama Israel melancarkan serangan besar-besaran terhadap Iran untuk melemahkan kemampuan militer dan strategis rezim tersebut. Dalam operasi itu, serangan non-kinetik, termasuk serangan siber, berperan sangat besar. Pelakunya pun bukan cuma AS dan Israel, tetapi juga Iran.

Intelijen Israel dilaporkan meretas kamera CCTV dan kamera lalu lintas di Teheran. Tujuannya adalah membangun jaringan pengawasan besar-besaran guna memetakan pola pergerakan Ayatollah Ali Khamenei dan para komandannya, hingga akhirnya mereka berhasil menewaskan sang pemimpin tertinggi Iran itu.

Aplikasi jadwal salat BadeSaba, yang memiliki lebih dari 5 juta pengguna, juga diretas. Pesan-pesan anti-rezim Khamenei dikirimkan langsung ke para penggunanya, tepat saat bom mulai berjatuhan.

Dari sisi Iran, Check Point Research menemukan ratusan upaya peretasan yang menarget kamera keamanan kelas konsumen di seluruh Asia Barat Daya. Sebagian besar peretasan itu dilakukan bersamaan dengan serangan rudal dan drone Iran ke target-target di Israel, Qatar, dan Siprus. Menurut pakar inteljen Check Point Research, Sergey Shykevich, kamera-kamera yang diretas dapat memberikan informasi real-time mengenai jalanan, fasilitas, dan pergerakan, dengan biaya sangat rendah.

Kondisi Iran sangat berbeda dari AS maupun Israel. Israel mengklaim telah mengebom markas perang siber Iran di Teheran, kompleks militer di tepi timur ibu kota yang disebut sebagai markas besar divisi siber dan elektronik IRGC.

Namun, para ahli mengingatkan, serangan fisik terhadap infrastruktur siber tidak serta-merta mematikan kemampuan Iran sepenuhnya. Meski struktur komando operasi siber telah tercerai berai, kelompok-kelompok proksi dan hacktivist pro-Iran disebut bakal terus terlibat dalam aktivitas yang "lebih tidak terduga" dan terdesentralisasi.

Di sinilah kemudian Handala berperan penting.

Unit 42 dari Palo Alto Networks mencatat keberadaan sekitar 60 kelompok hacktivist aktif sejak 28 Februari 2026, termasuk kelompok-kelompok pro-Rusia. Berbagai persona dan kolektif yang selaras dengan Iran telah mengklaim tanggung jawab atas sejumlah operasi disruptif. Di antara semuanya, Handala Hack menjadi persona Iran paling menonjol. Mereka memadukan eksfiltrasi data dengan operasi siber terhadap target politik dan pertahanan Israel.

Untuk bisa tetap beroperasi meski Iran mengalami pemadaman internet hampir total, Handala menggunakan cara ironis. Mereka telah menggunakan internet satelit Starlink milik Elon Musk sejak setidaknya pertengahan Januari, ketika Iran memutus internetnya karena khawatir serangan siber asing.

Data dari Check Point mengonfirmasi, kelompok tersebut terus menggunakan Starlink hingga 28 Februari, hari dimulainya serangan AS-Israel ke Iran. Terminal Starlink sebetulnya dilarang digunakan di Iran, baik oleh rezim maupun karena sanksi AS. Akan tetapi, diperkirakan ada sebanyak 30 ribu unit yang beroperasi di sana melalui pasar gelap.

Puncak operasi Handala paling destruktif terjadi pada 11 Maret 2026. Pagi itu, karyawan Stryker di seluruh dunia menyalakan komputer dan mendapati layarnya berbeda dari biasanya. Halaman login digantikan oleh sebuah logo: bocah kecil bertelanjang kaki dengan ketapel, yang tak lain adalah Handala.

Stryker merupakan perusahaan teknologi medis Fortune 500 pemasok peralatan bedah, implan ortopedi, dan neurotechnology, ke rumah sakit di seluruh dunia. Pendapatannya sebesar 25 miliar dolar AS pada 2025, dengan jumlah karyawan 56 ribu.

Handala mengeksploitasi Microsoft Intune, platform berbasis komputasi awan yang digunakan perusahaan untuk mengelola dan mengirim pembaruan kebijakan ke semua perangkat-terdaftar dari satu konsol tunggal. Dengan menguasai akses administrator, Handala menerbitkan perintah factory reset secara massal ke seluruh armada perangkat global Stryker, tanpa menyebarkan satu baris pun malware.

Berdasarkan sumber dari AS, Stryker mengonfirmasi insiden tersebut dalam pengajuan Form 8-K ke SEC (Komisi Sekuritas dan Bursa) AS. Mereka menyebutnya sebagai gangguan global terhadap lingkungan Microsoft perusahaan, dan menyatakan tidak ada indikasi ransomware atau malware, serta meyakini insiden tersebut telah terkendali. Handala mengklaim telah menghapus lebih dari 200 ribu sistem di 79 negara dan mengekstrak 50 terabit data.

Dampak paling parah dirasakan pada platform transmisi EKG LifeNet, yang digunakan paramedis untuk mengirimkan data jantung ke ruang gawat darurat sebelum pasien tiba. Sejumlah rumah sakit bahkan sampai menangguhkan penggunaan platform tersebut sebagai tindakan pencegahan dan memaksa tim darurat kembali ke konsultasi radio manual.

Handala menyatakan, serangan terhadap Stryker merupakan pembalasan atas invasi militer AS ke sekolah di Minab, Iran. Stryker tidak berhubungan langsung dengan operasi militer, meski punya kontrak dengan Departemen Pertahanan AS senilai 450 juta dolar untuk memasok perangkat medis kepada militer AS pada 2025. Kontrak itulah yang diduga membuat Stryker masuk daftar target.

Secara teknis, Handala beroperasi secara manual dan praktik langsung (hands-on). Setelah masuk ke dalam jaringan, mereka bergerak dari satu komputer ke komputer lain menggunakan protokol akses jarak jauh—umum dipakai administrator IT—seolah-olah mereka adalah staf internal yang sah.

Untuk menjangkau komputer-komputer yang tidak bisa diakses langsung dari luar, Handala menggunakan NetBird, perangkat lunak yang memungkinkan mereka membuat jalur komunikasi tersembunyi antarmesin di dalam jaringan korban. Dengan begitu, mereka bisa mengendalikan banyak komputer sekaligus dari jarak jauh.

Selama fase penghancuran, mereka menjalankan empat metode penghapusan data secara bersamaan. Metode itu disebarkan lewat fitur Group Policy—sistem yang biasanya dipakai admin IT untuk mendistribusikan pembaruan perangkat lunak ke seluruh komputer dalam satu jaringan—untuk memastikan kerusakan semaksimal mungkin.

Pola lebih luas menunjukkan, aktor-aktor yang terkait MOIS makin banyak menggunakan ekosistem kejahatan siber. Mereka tidak hanya meniru pelaku kejahatan siber, tetapi secara aktif memanfaatkan malware kriminal, merek ransomware, dan mekanisme berbasis afiliasi, untuk mendukung tujuan strategisnya. Akibatnya, makin sulit investigator melacak dalang yang bertanggung jawab di balik serangan dan makin luas pula jangkauan operasi mereka.

Meski demikian, para analis mengingatkan agar tidak terlalu cepat melebih-lebihkan kemampuan Handala. Rafe Pilling, direktur intelijen ancaman di Sophos X-Ops, menilai bahwa Handala tampaknya sedang berusaha mendapatkan akses ke organisasi secara cepat dan merusak sebisa mungkin di tengah serangan udara AS dan Israel.

"Ini semua tidak terlihat seperti serangan yang terencana," kata Pilling. Menurutnya, kelompok tersebut lebih terlihat sedang meraba-raba peluang daripada menjalankan strategi terkoordinasi matang.

Terlepas dari itu, satu hal pasti, bocah bertelanjang kaki ciptaan Naji al-Ali lebih itu kini telah meminjamkan figurnya pada sesuatu yang tidak pernah ia bayangkan: sebuah unit siber negara yang beroperasi di balik topeng perlawanan. Handala si bocah 10 tahun memang tidak akan pernah tumbuh dewasa. Akan tetapi, kemampuan dan jangkauannya makin lama makin terasa nyata.