Pesquisadores da empresa israelense Gambit Security atribuíram à inteligência iraniana o ataque cibernético sofrido pela Los Angeles County Metropolitan Transportation Authority (LACMTA) em março deste ano. Segundo o relatório divulgado pela companhia, o grupo responsável pela invasão atuava sob a fachada de hacktivistas independentes, mas possui vínculos diretos com o Ministério da Inteligência da República Islâmica do Irã (MOIS).

O grupo utilizava o nome “Ababil of Minab”, referência à cidade iraniana de Minab, onde mais de 175 professores e crianças morreram em um ataque contra uma escola. Após a invasão, os operadores afirmaram ter roubado dados da autoridade de transporte de Los Angeles e destruído parte da infraestrutura tecnológica da organização.

De acordo com a Gambit Security, a atribuição ao MOIS foi possível após análises forenses identificarem conexões entre a operação e campanhas anteriores já associadas à inteligência iraniana. Os pesquisadores afirmam ter encontrado evidências técnicas que ligam o grupo a atividades previamente atribuídas ao governo iraniano pela Diretoria Nacional de Cibersegurança de Israel.

O relatório também aponta que os invasores utilizavam ferramentas personalizadas de exfiltração de dados e técnicas avançadas de destruição operacional.

Segundo a investigação, o grupo não se limitou ao roubo de informações. Os operadores atacaram diretamente camadas críticas de recuperação de ambientes corporativos, incluindo infraestrutura de virtualização, sistemas de backup e volumes de armazenamento.

Os pesquisadores afirmam que os hackers apagaram bancos de dados, máquinas virtuais e volumes inteiros de armazenamento utilizando tanto scripts automatizados quanto atividades manuais conduzidas diretamente pelos operadores durante a invasão.

Esse tipo de abordagem dificulta drasticamente os processos de recuperação pós-incidente, aumentando impacto operacional e tempo de indisponibilidade das vítimas.

Além do sistema de transporte de Los Angeles, o grupo também teria comprometido outras organizações internacionais. Segundo o relatório, dados foram exfiltrados de uma organização israelense do setor de mídia, uma universidade em Israel, uma corretora de seguros turca e diversos sites ligados aos setores de cultura, serviços digitais, restaurantes e notícias.

Entidades na Arábia Saudita também teriam sido alvo das operações conduzidas pelo grupo.

A Gambit Security destaca que a velocidade operacional da campanha chamou atenção dos pesquisadores. Segundo o relatório, invasores modernos estão abandonando ataques focados apenas em acesso inicial e movimentação lateral para priorizar diretamente estruturas de recuperação, backups e virtualização logo nos primeiros momentos da intrusão.

A estratégia busca maximizar destruição e impedir remediação rápida dos ambientes comprometidos.

Os pesquisadores também alertam para um cenário ainda mais preocupante: a democratização dessas capacidades ofensivas por meio da inteligência artificial.

Segundo a análise, conforme ferramentas baseadas em IA se tornem mais acessíveis, até operadores com menor experiência técnica poderão executar campanhas destrutivas complexas utilizando automação, geração de scripts, adaptação rápida de ferramentas ofensivas e análise automatizada de infraestrutura.

O caso também reforça uma tendência observada em grupos ligados ao Irã: a utilização de identidades hacktivistas como fachada para operações conduzidas por estruturas estatais.

Recentemente, após um ataque devastador contra a fabricante de dispositivos médicos Stryker, o grupo Handala assumiu responsabilidade pela invasão alegando atuar de forma independente em apoio à causa palestina. No entanto, especialistas e o Departamento de Justiça dos Estados Unidos afirmaram posteriormente que o grupo também possui ligações com o MOIS iraniano.

O ataque contra a Stryker provocou destruição significativa de sistemas corporativos e dispositivos internos da companhia, afetando operações e infraestrutura tecnológica da fabricante.

Especialistas avaliam que campanhas desse tipo demonstram uma evolução no modelo de guerra cibernética conduzida por Estados-nação, onde operações combinam espionagem, sabotagem, destruição operacional e influência política sob disfarces ideológicos ou ativistas.