Questa è una scheda di approfondimento del collettivo chiamato Mr Hamza, coinvolto in numerosi attacchi cyber, anche in collaborazione con DieNet di cui si è parlato qui.
Origine e caratteristiche principali
Il gruppo Mr Hamza avrebbe origine nel Marocco intorno ad ottobre 2024. Questo collettivo, come in parte è stato già dichiarato è noto per attacchi svolti in collaborazione con altri collettivi tra cui il celebre NoName057, Z-Pentest, Holy League. Per il coordinamento delle operazioni è molto probabile che uno dei canali preferenziali sia Telegram.
Attribuzione degli attacchi e motivazioni
Con una preferenza per gli attacchi DDoS, il collettivo Mr Hamza è noto per la vendita di tool di hacking e per aver attaccato strutture di grandi dimensioni e critiche.
| Data | Operazione | Obiettivo | Metodo | Note |
|---|---|---|---|---|
| Ott 2024 | Leak data esercito Egitto | Egyptian Army | Data leak | Collaborazione con Emorocco Hacktivists |
| Dic 2024 | #OpItaly (varie fasi) | Ministeri e agenzie italiane | DDoS + defacement | Anche MI6, ENISA, INCIBE |
| Gen 2025 | Attacco a DIS (Agenzia Intelligence italiana) | Sito DIS | DDoS | Confermato da Cyber Press |
| Mar 2025 | #Ops_Turkia | Ministero Difesa Turco, SIEM, passaporti cittadini | Leakage + minaccia data dumping | Rivendicata su Telegram |
| Apr 2025 | Op_USA (?) | Infrastrutture militari USA & alleati | DDoS + data leak | Coordinato con Vortex e Arab Ghosts |
L’Italia ha conosciuto Mr Hamza nel dicembre 2024, a seguito di una massiccia campagna di attacchi DDoS (talvolta con defacciamento) a danno di ministeri e agenzie governative. Nel gennaio 2025 c’è stato un attacco, mediante DDoS al DIS (Dipartimento delle Informazioni per la Sicurezza).
Nello specifico, in Italia, Mr Hamza è stata coinvolta anche nell’offensiva contro la Klinger (in cui è stato usato in Gunra Ransomware) e contro una compagnia di servizi IT colpita da un’intrusione mediante protocollo RDP dall’attore Rivka. A questo proposito, in un articolo molto dettagliato di The Daily Tech Feed, si apprende che:
L’offerta è stata pubblicata sul forum “ramp4u.io”. Analogamente al precedente incidente che ha coinvolto lo stesso autore, questo fornisce un primo punto d’appoggio per potenziali acquirenti presso un’azienda di servizi IT italiana.
Alla base dell’attività di Mr Hamza vi è una forte ideologia anti-israeliana e quindi a favore della causa palestinese. Questo ha permesso ad Mr Hamza di sposare cause che fossero affini a tali ideologie.
Al momento della scrittura di questo articolo, il collettivo ha un canale pubblico in Telegram e una casella di posta elettronica registrata sul servizio di posta cifrata Tutanota.
Tra le varie attività rivendicate dal gruppo ci sono anche le PsyOps, ossia le operazioni a scopo psicologico, fatte per diffondere una determinata propaganda o destabilizzare l’opinione pubblica. Durante gli attacchi in Turchia (#Ops_Turkey) Mr Hamza ha lanciato attacchi DDoS e leak di dati non solo per causare danni tecnici, ma anche per trasmettere un messaggio politico. Ad esempio, hanno dichiarato esplicitamente che le loro azioni erano “warning operations” in risposta a «moral provocations». Il gruppo utilizza linguaggi e storytelling pro‑Palestina, anti‑occidentale, anti-Israele, con dichiarazioni che mirano ad incoraggiare la solidarietà ideologica e il reclutamento.
Curiosità sul nome
Hamza è una parola araba molto importante (حمزة), il suo significato è “leone” e quindi anche “coraggio” e “ferocia”, è derivata dalla radice ḥ‑m‑z, legata alla forza e alla determinazione. Nella cultura araba tale nome è associato anche a persone tra cui Ḥamza ibn ʿAbd al‑Muṭṭalib, zio del profeta Maometto. Considerato uno dei più grandi guerrieri dell’Islam primordiale, era noto come “Asad Allāh” – Il Leone di Dio. ʿAbd al‑Muṭṭalib morì morì nella Battaglia di Uhud combattendo valorosamente per l’Islam e oggi è venerato come martire e figura eroica. La scelta di questo nome, pertanto, ha lo scopo di veicolare concetti come eroismo e martirio, è un nome molto identitario con caratteristiche simboliche molto forti.
Il prefisso Mr è invece legato, molto probabilmente, alla voglia di dare una “nota occidentale” al collettivo (Mr. Robot, Mr DDoS, etc…) e questo sarebbe più che comprensibile essendo la cultura araba ben poco diffusa nel mondo occidentale. Vi è una nota caustica in quel “Mr”, quasi a volerlo rendere più rispettabile, cosa che in realtà non si può dire considerando la virulenza delle offensive compiute e l’odio provato per l’occidente.
