今年3月下旬，自称Ababil of Minab的组织在网络上发布视频和截图，宣称其入侵了洛杉矶县大都会运输局（LA Metro），删除了数百TB数据并窃取超过1TB文件。该组织将自己包装成支持伊朗的黑客活动团体。但以色列安全公司Gambit Security的研究人员通过基础设施分析，立即识破了这一伪装。

2026年4月2日，LA Metro确认遭受入侵。此次攻击迫使该机构在恢复上线前检查数百台服务器是否遭篡改。虽然轨道交通和公交服务保持运行，但内部系统瘫痪长达数周。攻击者自行录制的视频显示，3月17日凌晨3点37分，LA Metro在X平台发布通知称服务警报出现延迟，乘客无法通过TAP移动应用充值——此时攻击者早已删除了LA Metro的vCenter环境中的虚拟机。整个破坏过程绝非随机操作。

Gambit Security发布的报告指出："攻击者采用两种方式进行破坏：脚本自动化和手动操作。在脚本模式下，操作者运行程序遍历资产清单，对每项条目执行破坏性命令；在交互模式下，操作者打开合法管理员使用的管理控制台和操作系统工具，通过点击操作逐项删除资源。"

攻击者先是打开vCenter，选中虚拟机后依次执行"关机"和"从磁盘删除"命令，并通过任务队列确认每次删除操作。随后转向Windows客户机虚拟机，打开磁盘管理工具逐个删除分区，无视系统警告提示。

LA Metro并非唯一受害者。同一波攻击还针对南佛罗里达地区交通局、沙特维护公司UNIMAC以及消费者GPS车辆追踪服务Vyncs。在UNIMAC，攻击者格式化存储卷后创建名为"Minab"的新卷；在Vyncs则运行名为main.py的Python脚本，遍历58个SQL Server实例删除所有用户数据库，随后手动删除备份文件乃至Windows系统文件夹本身——RDP会话在删除过程中断，恰好证实破坏行为已生效。

值得注意的是，攻击者还使用ChatGPT优化破坏脚本。其发布的视频中短暂暴露了与ChatGPT的对话记录，显示操作者正寻求帮助过滤系统数据库，确保DROP DATABASE仅作用于用户数据。最终采用的代码模式与脚本运行时行为完全吻合——这个看似平常的细节却意义重大：伊朗关联的情报行动竟使用消费级AI工具来修复擦除脚本的缺陷。

通过分析攻击者的中转服务器，Gambit发现文件传输源自IP地址31.172.87.20，该地址曾为nefeshhope[.]com提供SSL证书。该域名在2025年8月被用作针对以色列国防军士兵的虚假创伤支持门户，通过仿冒正规心理健康服务窃取个人信息并投放恶意软件。以色列国家网络指挥部已将其关闭并归因于已知伊朗组织。ClearSky网络安全公司和研究员Simon Kenin的进一步分析将相关基础设施与伊朗情报安全部（MOIS）下属组织Black Shadow相关联。

报告强调："调查表明Ababil of Minab不太可能是其自称的新兴独立黑客团体。取证证据显示该行动与伊朗关联组织Black Shadow的基础设施和活动存在联系，而以色列国家网络指挥部已确认Black Shadow隶属于伊朗情报安全部。"

除四起公开事件外，Gambit还在攻击者的中转基础设施上发现更多未被Ababil of Minab公开的受害者，包括以色列媒体机构、高等教育机构、土耳其保险经纪公司，以及餐饮、文化、数字服务和新闻领域的多个网站。针对这些目标，Gambit发现了数据外泄证据但未遭破坏——表明该组织选择性公开最具破坏性的攻击，同时悄无声息地窃取其他目标数据。

攻击者的数据外泄工具值得关注：他们用Python开发了基于Flask的定制接收器，以加密数据块形式收集窃取数据，包含会话启动、断点续传和哈希验证功能。虽然采用AES-CBC加密，但密钥和初始向量与加密数据通过同一POST请求发送，使得任何监控流量者都能轻易解密。此外还部署了内部名为FileFiend的C++工具，可枚举本地驱动器和SMB共享文件并发送至硬编码服务器。二进制字符串中泄露的开发路径显示：C:\Users\casio\Desktop\uploader v3——显然名为casio的开发者在桌面环境构建了这套工具。

所谓"黑客活动"不过是伪装。从基础设施、工具集、攻击模式到历史活动，所有证据都指向一场刻意制造身份模糊、增加归因难度的国家级情报行动。这套伪装在最初几周确实奏效，但在专业分析面前终究无所遁形。