Хакеры проникли в систему в начале июня, а в конце месяца начали подготовку к атаке на сеть Министерства дорог и городского развития Ирана. Злоумышленники внесли изменения в протоколы загрузки и поменяли пароли пользователей. Затем они заблокировали систему и установили свой контроль. Также были отключены системы восстановления сетей.
Преступники изменили доступ системных администраторов и их способность удаленно подключаться к системе. Эксперты по кибербезопасности Ирана пришли к выводу, что атаке способствовали пользователи, не соблюдающие протоколы безопасности во время удаленной работы из дома, существующие уязвимости в системах, отсутствие защиты паролей, отсутствие обновления антивирусного программного обеспечения и недостаточные инвестиции в кибербезопасность.
В результате общесистемного сбоя в компьютерной сети железных дорог Ирана предположительно были задержаны и отменены сотни железнодорожных рейсов. Однако глава отдела по связям с общественностью в министерстве Садег Сокри отрицал кибератаку и сказал, что произошли только «перебои в грузовом транспорте».