Un solo script afectó 58 servidores: hackers iraníes automatizaron la destrucción de datos del servicio GPS de EE. UU.
No es una distopía: informe sobre un ataque real contra LA Metro y Vyncs.
El grupo iraní Ababil of Minab asumió una serie de ataques destructivos contra empresas de transporte y negocios en EE. UU. y en Oriente Medio. Los hackers no solo robaron datos. En muchos casos los atacantes destruyeron deliberadamente máquinas virtuales, bases de datos y copias de seguridad, dejando a las empresas sin posibilidad de recuperar rápidamente la infraestructura.
Especialistas de Gambit Security relacionaron la campaña con el grupo Black Shadow, que las autoridades israelíes habían señalado anteriormente como una unidad vinculada al Ministerio de Inteligencia y Seguridad de Irán. Los autores del informe consideran que Ababil of Minab no es una nueva agrupación independiente, a pesar de las declaraciones de los propios participantes del ataque.
Una de las primeras víctimas fue la autoridad de transporte de Los Ángeles LA Metro. Los hackers accedieron al sistema de gestión de infraestructura virtual VMware vCenter y eliminaron máquinas virtuales junto con los archivos de disco. Horas después del ataque LA Metro informó de interrupciones en el sistema móvil de pago del transporte. Luego los atacantes se conectaron a una máquina Windows invitada y, mediante la herramienta estándar de administración de discos, borraron las particiones de los discos.
Otra víctima fue la South Florida Regional Transportation Authority. Según vídeos publicados, los atacantes usaron acceso remoto por RDP y obtuvieron privilegios de administrador local en un servidor IIS. Después, mediante Microsoft SQL Server Management Studio pusieron fuera de línea y eliminaron bases de datos, y con la utilidad WipeFile borraron el contenido de los directorios del servidor web y de las copias de seguridad.
En la infraestructura de la empresa UNIMAC los hackers formatearon particiones de disco, eliminaron volúmenes y crearon otros nuevos con el nombre «Minab». Tras esto, los atacantes destruyeron las cadenas de copia de seguridad a través de Veeam Backup & Replication.
Durante el ataque al servicio de monitoreo GPS Vyncs, los participantes de la campaña emplearon su propio script main.py, que se conectaba automáticamente a 58 servidores Microsoft SQL Server y eliminaba las bases de datos de usuario. Paralelamente, los atacantes borraban manualmente las copias de seguridad y los directorios del sistema de Windows. Tras la eliminación de las carpetas, la conexión con el servidor se interrumpió, lo que confirmó la destrucción exitosa del sistema.
Los autores del informe también detectaron un detalle significativo. En uno de los vídeos los atacantes usaron ChatGPT para perfeccionar el script de borrado de bases de datos. Según la investigación, el servicio ayudó a excluir las bases de datos del sistema de Microsoft SQL Server de la lista de objetos a eliminar, de modo que el script afectara únicamente a los datos de usuario.
Además de los ataques destructivos, los especialistas hallaron que se sustrajeron datos de organizaciones en Israel y Turquía, incluidas instituciones educativas, medios de comunicación, compañías de seguros y sitios del ámbito cultural y de la restauración. Los archivos fueron exfiltrados a través de servidores web infectados de las víctimas y con herramientas propias. Entre ellas se encontró FileFiend: un programa especial en C++ capaz de recopilar archivos de discos locales y de red y enviar los datos a un servidor de mando y control.
Las huellas de la infraestructura de la campaña llevaron a los especialistas al dominio nefeshhope[.]com, que en 2025 se utilizó en un servicio falso de asistencia psicológica para militares israelíes. A través del sitio los atacantes recogieron datos personales y distribuyeron programas maliciosos. La autoridad nacional de ciberseguridad de Israel vinculó entonces la operación con actividad iraní.