Los investigadores de ciberseguridad han detectado un nuevo malware llamado ZionSiphon que parece estar diseñado específicamente para atacar los sistemas de desalinización y tratamiento de agua israelíes.
El malware tiene un nombre en código. SionSifón de Darktrace, destacando su capacidad para configurar la persistencia, alterar los archivos de configuración locales y buscar servicios relevantes para la tecnología operativa (OT) en la subred local. Según detalles de VirusTotal, la muestra se detectó por primera vez en estado salvaje el 29 de junio de 2025, justo después de la Guerra de los Doce Días entre Irán e Israel que tuvo lugar entre el 13 y el 24 de junio.
«El malware combina escalada de privilegios, persistencia, propagación USB y escaneo ICS con capacidades de sabotaje dirigidas a controles de cloro y presión, destacando la creciente experimentación con ataques de infraestructura crítica políticamente motivados contra tecnologías operativas industriales a nivel mundial», dijo la compañía.
ZionSiphon, actualmente en un estado inacabado, se caracteriza por su objetivo centrado en Israel, yendo tras un conjunto específico de rangos de direcciones IPv4 que se encuentran dentro de Israel.
- 2.52.0(.)0 – 2.55.255(.)255
- 79.176.0(.)0 – 79.191.255(.)255
- 212.150.0(.)0 – 212.150.255(.)255
Además de codificar mensajes políticos que afirman apoyar a Irán, Palestina y Yemen, el malware incorpora cadenas vinculadas a Israel en su lista de objetivos que corresponden a la infraestructura de agua y desalinización del país. También incluye controles para garantizar que en esos sistemas específicos.
«La lógica prevista es clara: la carga útil se activa sólo cuando se cumplen tanto una condición geográfica como una condición ambiental específica relacionada con la desalinización o el tratamiento del agua», dijo la empresa de ciberseguridad.
Una vez iniciado, ZionSiphon identifica y sondea dispositivos en la subred local, intenta la comunicación específica del protocolo utilizando los protocolos Modbus, DNP3 y S7comm, y modifica los archivos de configuración locales alterando los parámetros asociados con las dosis y la presión de cloro. Un análisis del artefacto encontró que la ruta de ataque orientada a Modus es la más desarrollada, y los dos restantes solo incluyen código parcialmente funcional, lo que indica que es probable que el malware aún esté en desarrollo.
Un aspecto notable del malware es su capacidad para propagar la infección a través de medios extraíbles. En los hosts que no cumplen con los criterios, inicia una secuencia de autodestrucción para eliminarse a sí mismo.
«Aunque el archivo contiene funciones de sabotaje, escaneo y propagación, la muestra actual parece incapaz de satisfacer su propia función de verificación del país de destino incluso cuando la IP reportada cae dentro de los rangos especificados», dijo Darktrace. «Este comportamiento sugiere que la versión se deshabilitó intencionalmente, se configuró incorrectamente o se dejó sin terminar».
«A pesar de estas limitaciones, la estructura general del código probablemente indica que un actor de amenazas está experimentando con manipulación OT multiprotocolo, persistencia dentro de redes operativas y técnicas de propagación de medios extraíbles que recuerdan a campañas anteriores dirigidas a ICS».
La divulgación coincide con el descubrimiento de un implante basado en Node.js llamado RoadK1ll que está diseñado para mantener un acceso confiable a una red comprometida mientras se integra con la actividad normal de la red.
«RoadK1ll es un implante de túnel inverso basado en Node.js que establece una conexión WebSocket saliente a la infraestructura controlada por el atacante y utiliza esa conexión para gestionar el tráfico TCP bajo demanda», dijo Blackpoint Cyber.
«A diferencia de un troyano de acceso remoto tradicional, no incluye un gran conjunto de comandos y no requiere ningún escucha entrante en el host de la víctima. Su única función es convertir una única máquina comprometida en un punto de retransmisión controlable, un amplificador de acceso, a través del cual un operador puede pivotar hacia sistemas internos, servicios y segmentos de red que de otro modo serían inalcanzables desde fuera del perímetro».
La semana pasada, Gen Digital también descubrió una puerta trasera ofuscada por una máquina virtual (VM) que se observó en una sola máquina en el Reino Unido y funcionó durante aproximadamente un año, antes de desaparecer sin dejar rastro cuando su infraestructura expiró. El implante ha sido denominado AngrySpark. Actualmente no se sabe cuáles eran los objetivos finales de la actividad.
«AngrySpark funciona como un sistema de tres etapas», explicó la empresa. «Una DLL que se hace pasar por un componente de Windows se carga a través del Programador de tareas, descifra su configuración del registro e inyecta un código shell independiente de la posición en svchost.exe. Ese código shell implementa una máquina virtual».
«La máquina virtual procesa un blob de 25 KB de instrucciones de código de bytes, decodifica y ensambla la carga útil real: una baliza que perfila la máquina, llama a casa a través de HTTPS disfrazada de solicitudes de imágenes PNG y puede recibir código shell cifrado para su ejecución».
El resultado es un malware capaz de establecer una persistencia sigilosa, alterar su comportamiento cambiando el blob y establecer un canal de comando y control (C2) que puede pasar desapercibido.
«AngrySpark no sólo es modular, sino que también tiene cuidado con la apariencia que tienen los defensores», añadió Gen. «Varias opciones de diseño parecen dirigidas específicamente a frustrar la agrupación, eludir la instrumentación y limitar los residuos forenses que quedan. Los metadatos PE del binario se han alterado deliberadamente para confundir las huellas digitales de la cadena de herramientas».
