Der Einbruch bei der Los Angeles County Metropolitan Transportation Authority (LACMTA) wurde Mitte März entdeckt. Er löste interne Betriebsstörungen aus, ohne den Bahn- und Busbetrieb zu beeinträchtigen. Anfang April teilten Vertreter von LA Metro mit, dass Hunderte Server auf Anzeichen einer Kompromittierung geprüft werden mussten, bevor sie wieder in Betrieb gehen konnten.
Verantwortlich erklärte sich wenige Tage später die Gruppe Ababil of Minab, die sich als pro-iranische Hacktivisten-Vereinigung darstellt. Nach eigenen Angaben löschte sie Hunderte Terabyte an Daten und schleuste über ein Terabyte an Dateien aus. Zum Beleg ihres Zugriffs veröffentlichte die Gruppe Screenshots und Videos. Diese zeigten unter anderem eine zentrale Virtualisierungs-Verwaltungsplattform, eine Microsoft-IIS-Webserver-Instanz mit internen und öffentlich erreichbaren Inhalten sowie ein System der Betriebstechnik (OT), das zur Überwachung von Zügen dient.
Das auf Bedrohungs- und Risikoanalyse spezialisierte Unternehmen Dataminr stufte Ababil of Minab seinerzeit als aufstrebende pro-iranische Hacktivisten-Gruppe mit geringem öffentlichen Profil und kaum überprüfbarer früherer Aktivität ein. Eine belastbare Einschätzung von Fähigkeiten oder Absichten sei in diesem Stadium daher verfrüht.
Die israelische Firma Gambit, die sich mit Cyber-Resilienz befasst, kam bei ihrer Untersuchung zu einem anderen Schluss. Nach ihrer Einschätzung handelt es sich bei Ababil of Minab entgegen den eigenen Behauptungen wahrscheinlich nicht um eine neue, eigenständige Gruppe. Forensische Spuren verbänden die Operation mit Infrastruktur und Aktivitäten, die der iranisch verbundenen Gruppe Black Shadow zugeordnet werden. Diese wurde laut Gambit vom israelischen National Cyber Directorate dem iranischen Geheimdienst- und Sicherheitsministerium zugeschrieben.
Gambit ordnete Ababil of Minab zudem Angriffe auf Organisationen in den USA, Israel, Saudi-Arabien und der Türkei zu. In allen Fällen sollen die Angreifer Daten abgezogen, in einigen Fällen auch zerstörerisch agiert haben. Zu den Betroffenen zählen laut Gambit eine israelische Organisation aus dem Mediensektor, eine israelische Hochschule, ein türkischer Versicherungsmakler sowie mehrere weitere Websites aus den Bereichen Gastronomie, Kultur, digitale Dienste und Nachrichten.
