🗞️ Contexte
Publié le 26 mai 2026 par TechCrunch (Lorenzo Franceschi-Bicchierai), cet article rapporte les conclusions d’un rapport de la startup israélienne Gambit Security attribuant une cyberattaque survenue en mars 2026 contre la Los Angeles County Metropolitan Transportation Authority (LACMTA) à des hackers liés à l’Iran.
🎯 Attaque et attribution
Un groupe se présentant comme hacktiviste sous le nom Ababil of Minab avait revendiqué l’attaque, affirmant avoir volé puis supprimé des données des systèmes de la LACMTA. La récupération de l’incident a pris plusieurs semaines.
Gambit Security conclut que ce groupe n’est pas un collectif hacktiviste indépendant, mais opère pour le compte du Ministry of Intelligence and State Security (MOIS) iranien. Cette attribution repose sur :
- Des preuves forensiques reliant le groupe à une précédente campagne liée à l’Iran
- Des activités attribuées au MOIS par l’Israel National Cyber Directorate
- Des investigations sur d’autres attaques contre des entités en Israël, Arabie Saoudite et Turquie
🔗 Contexte plus large
Ababil of Minab s’inscrit dans un schéma récurrent de faux groupes hacktivistes utilisés comme couverture par le gouvernement iranien. L’article cite notamment Handala, qui avait compromis le géant américain de la medtech Stryker (début 2026), effaçant des milliers de systèmes et d’appareils d’employés. Suite à cela, le FBI a saisi deux sites web de Handala et le Département de Justice américain a officiellement accusé l’Iran d’être derrière ce groupe.
L’article note également qu’en avril 2026, une coalition d’agences américaines avait alerté sur le ciblage des infrastructures critiques américaines par des hackers iraniens, dans un contexte de tensions accrues suite aux frappes américaines et israéliennes sur l’Iran.
📋 Type d’article
Il s’agit d’un article de presse spécialisée rapportant les conclusions d’un rapport d’attribution CTI, avec pour but principal d’informer sur l’implication étatique iranienne derrière une attaque présentée initialement comme hacktiviste.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Ababil of Minab (state-sponsored) — orkl.eu · Malpedia
- Handala (state-sponsored) — orkl.eu · Malpedia
TTP
- T1485 — Data Destruction (Impact)
- T1565 — Data Manipulation (Impact)
🟡 Indice de vérification factuelle : 38/100 (moyenne)
- ⬜ techcrunch.com — source non référencée (0pts)
- ✅ 4414 chars — texte complet (fulltext extrait) (15pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 2 TTP(s) MITRE (8pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : Ababil of Minab, Handala (5pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://techcrunch.com/2026/05/26/iranian-hackers-blamed-for-breach-of-los-angeles-transit-system-that-took-weeks-to-recover/