Il sistema di trasporto pubblico di Los Angeles, il LACMTA (Los Angeles County Metropolitan Transportation Authority), è stato colpito a marzo da un attacco informatico che ha richiesto settimane di lavoro prima di tornare alla piena operatività. Ora emergono i dettagli su chi ci sia realmente dietro, e il quadro che ne esce è tutt’altro che rassicurante: secondo i ricercatori di sicurezza della startup israeliana Gambit Security, la violazione sarebbe opera di hacker iraniani legati al Ministero dell’Intelligence e della Sicurezza di Stato dell’Iran, noto con la sigla MOIS.
A rivendicare pubblicamente l’attacco era stato un gruppo che si fa chiamare Ababil of Minab, presentandosi come una crew hacktivista indipendente. Il gruppo ha dichiarato di aver rubato e poi cancellato dati dai sistemi del LACMTA. Il nome scelto non è casuale: è un riferimento al bombardamento americano su una scuola iraniana nella città di Minab, un attacco che ha causato la morte di oltre 175 persone, in gran parte bambini. Una scelta evidentemente pensata per dare una connotazione politica e ideologica all’operazione.
Gambit Security, però, smonta questa narrazione. “Non sono un nuovo gruppo hacktivista indipendente come sostengono”, hanno dichiarato i ricercatori. Le conclusioni si baserebbero su prove forensi che collegano Ababil of Minab a una precedente campagna informatica già attribuita al MOIS dalle autorità israeliane, in particolare dall’Israel National Cyber Directorate. Gambit ha inoltre indagato su altri attacchi condotti contro aziende in Israele, Arabia Saudita e Turchia, trovando connessioni significative.
Un pattern che si ripete: finti hacktivisti al servizio di Teheran
Se l’analisi di Gambit Security dovesse essere confermata, Ababil of Minab si aggiungerebbe a una lista ormai lunga di gruppi hacktivisti fittizi che in realtà operano per conto del governo iraniano. L’esempio più recente e clamoroso è quello di Handala, un gruppo che nei primi mesi di quest’anno ha violato i sistemi di Stryker, colosso americano della tecnologia medica, cancellando migliaia di dispositivi aziendali e sistemi interni.
Dopo la violazione di Stryker, l’FBI ha sequestrato due siti web riconducibili a Handala, e il Dipartimento di Giustizia degli Stati Uniti ha formalmente accusato il governo iraniano di essere la mente dietro il gruppo e i suoi attacchi. Una dinamica che ormai sembra consolidata: gruppi che si spacciano per attivisti digitali indipendenti, ma che rispondono a precise direttive statali.
Escalation di attacchi legata al conflitto in corso
Il contesto geopolitico rende tutto ancora più preoccupante. Gli hacker legati all’Iran hanno intensificato sensibilmente le proprie attività dopo che gli Stati Uniti e Israele hanno avviato i bombardamenti sul territorio iraniano nei primi mesi del 2026. Le rivendicazioni di attacchi informatici si sono moltiplicate, e non si tratta solo di propaganda: le conseguenze operative sono reali e tangibili, come dimostra proprio il caso del sistema di trasporto di Los Angeles, rimasto compromesso per settimane.
Ad aprile, una coalizione di agenzie governative statunitensi ha lanciato un avvertimento formale, segnalando che gli hacker iraniani stavano prendendo di mira le infrastrutture critiche americane. Il trasporto pubblico, i sistemi sanitari, le reti energetiche: tutto ciò che può creare disagio e vulnerabilità nella vita quotidiana dei cittadini diventa un potenziale bersaglio. L’attacco al LACMTA si inserisce esattamente in questo schema, confermando che la cybersicurezza delle infrastrutture pubbliche è diventata un fronte aperto nel confronto tra Stati Uniti e Iran.