Los investigadores de ciberseguridad han detectado un nuevo malware llamado ZionSiphon que parece estar diseñado específicamente para atacar los sistemas de tratamiento de agua y desalinización en Israel.
El malware, cuyo nombre en código es ZionSiphon de Darktrace, destaca su capacidad para establecer la persistencia, modificar archivos de configuración locales y buscar servicios relacionados con la tecnología operativa (OT) en subredes locales. Según detalla VirusTotal, esta muestra fue detectada por primera vez en un ambiente salvaje el 29 de junio de 2025, poco después de la guerra de 12 días entre Irán e Israel del 13 al 24 de junio.
«Este malware combina escalada de privilegios, persistencia, propagación USB y escaneo ICS con capacidades de sabotaje dirigidas al control de cloro y presión, destacando el creciente número de experimentos de ataques a infraestructuras críticas motivados políticamente contra tecnologías operativas industriales en todo el mundo», dijo la compañía.
ZionSiphon, que actualmente se encuentra en un estado inacabado, presenta un objetivo centrado en Israel que apunta a un conjunto específico de rangos de direcciones IPv4 dentro de Israel.
2.52.0(.)0 ~ 2.55.255(.)255 79.176.0(.)0 ~ 79.191.255(.)255 212.150.0(.)0 ~ 212.150.255(.)255
Además de cifrar mensajes políticos que afirman apoyar a Irán, Palestina y Yemen, el malware incorpora cadenas relacionadas con Israel en su lista de objetivos que corresponden a la infraestructura de agua y desalinización del país. También incluye comprobaciones para verificarlo en esos sistemas específicos.
«La lógica prevista es clara: la carga útil sólo se activará si se cumplen tanto las condiciones geográficas como las condiciones ambientales específicas relacionadas con la desalinización o el tratamiento del agua», dijo la empresa de ciberseguridad.
Una vez iniciado, ZionSiphon identifica e interroga dispositivos en la subred local, intenta la comunicación específica del protocolo utilizando los protocolos Modbus, DNP3 y S7comm, y modifica los archivos de configuración locales alterando los parámetros relacionados con la dosis y la presión del cloro. El análisis de los artefactos revela que la ruta de ataque orientada a Modus es la más desarrollada, y los dos restantes contienen sólo código parcialmente funcional, lo que indica que es probable que el malware aún esté en desarrollo.
Una característica notable de este malware es su capacidad para propagar infecciones a través de medios extraíbles. Los anfitriones que no cumplan con los criterios iniciarán una secuencia de autodestrucción y se eliminarán ellos mismos.
«Aunque los archivos contienen capacidades de sabotaje, escaneo y propagación, la muestra actual no parece ser capaz de satisfacer sus propias capacidades de verificación del país de destino, incluso si la IP reportada está dentro del rango especificado», dijo Darktrace. «Este comportamiento sugiere que la versión se ha desactivado, mal configurado o dejado intencionalmente en un estado inacabado».
«A pesar de estas limitaciones, la estructura general del código puede indicar que los atacantes están experimentando con operaciones OT multiprotocolo, persistencia dentro de las redes operativas y técnicas de propagación de medios extraíbles que recuerdan a campañas anteriores dirigidas a ICS».
Esta divulgación coincidió con el descubrimiento de un implante basado en Node.js llamado RoadK1ll, diseñado para integrarse con la actividad normal de la red y al mismo tiempo mantener un acceso confiable a las redes comprometidas.
«RoadK1ll es un implante de túnel inverso basado en Node.js que establece una conexión WebSocket saliente a la infraestructura controlada por el atacante y utiliza esa conexión para mediar el tráfico TCP bajo demanda», dijo Blackpoint Cyber .
«A diferencia de los troyanos de acceso remoto tradicionales, no tiene un conjunto de comandos extenso y no requiere un escucha entrante en el host de la víctima. Su única función es transformar una única máquina comprometida en un punto de retransmisión controlable, o amplificador de acceso, a través del cual los operadores pueden pivotar hacia sistemas internos, servicios y segmentos de red que son inalcanzables desde fuera del perímetro».
La semana pasada, Gen Digital también descubrió una puerta trasera ofuscada en máquinas virtuales (VM). Esta puerta trasera se observó en una máquina en el Reino Unido, estuvo en funcionamiento durante aproximadamente un año y desapareció sin dejar rastro cuando la infraestructura expiró. Este implante se llama AngrySpark. En este momento, no está claro cuál era el objetivo final de esta actividad.
«AngrySpark opera como un sistema de tres niveles», explicó la empresa. «Una DLL disfrazada de componente de Windows se carga a través del Programador de tareas, descifra su configuración del registro e inyecta un código shell independiente de la posición en svchost.exe. Ese código shell implementa la máquina virtual».
«La VM procesa fragmentos de instrucciones de código de bytes de 25 KB y decodifica y ensambla la carga útil real. Es una baliza que perfila la máquina y puede realizar llamadas a través de HTTPS disfrazadas de solicitudes de imágenes PNG y recibir código shell cifrado para su ejecución».
Como resultado, el malware puede establecer una persistencia sigilosa, cambiar su comportamiento cambiando blobs y configurar un canal de comando y control (C2) que le permite pasar desapercibido.
«AngrySpark no sólo es modular, sino que también prestamos atención a cómo lo ve el defensor», añadió Gen. «Varias opciones de diseño parecen estar dirigidas específicamente a limitar la agrupación estresante, la derivación de instrumentación y los residuos forenses que quedan. Los metadatos binarios de PE se han modificado intencionalmente para confundir las huellas dactilares de la cadena de herramientas».
Source link
