Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
ZionSiphon contro l’acqua in Israele: malware OT pronto al sabotaggio, attiva il payload solo su reti locali target
I ricercatori di cybersecurity hanno individuato un nuovo malware chiamato ZionSiphon, progettato per colpire sistemi OT legati al trattamento delle acque e alla desalinizzazione in Israele. La minaccia si distingue per un approccio mirato alle infrastrutture critiche e per funzioni che combinano persistenza, escalation dei privilegi, propagazione tramite USB e scansione di servizi industriali sulla rete locale, con possibili capacita di sabotaggio.
ZionSiphon e stato osservato in circolazione a fine giugno 2025 e risulta collegato a un contesto di tensione geopolitica. Il codice include messaggi politici e stringhe che richiamano esplicitamente obiettivi associati a impianti idrici e di desalinizzazione.
Targeting geografico e verifiche OT
Un elemento rilevante e la selezione di specifici intervalli IPv4 localizzati in Israele, utilizzati come condizione geografica per attivare il payload. Oltre al controllo del paese, il malware tenta di verificare anche condizioni ambientali coerenti con scenari OT, puntando a eseguire le azioni solo quando rileva un contesto compatibile con impianti reali.
Ricognizione e protocolli ICS/SCADA
Una volta eseguito, ZionSiphon effettua ricognizione sul subnet locale e prova comunicazioni protocollo specifiche tipiche dei sistemi ICS e SCADA, tra cui Modbus, DNP3 e S7comm. Lanalisi indica che la catena di attacco basata su Modbus appare la piu sviluppata, mentre le altre componenti risultano parzialmente implementate, suggerendo che il malware sia ancora in fase di sviluppo o test operativo.
Azioni di manomissione e impatto operativo
Tra le azioni piu preoccupanti emerge la manipolazione di file di configurazione locali, con manomissione di parametri che possono influire su dosaggi di cloro e controlli di pressione, due aspetti delicati per la sicurezza e la continuita del servizio idrico.
Propagazione via USB e autodistruzione
Per aumentare la diffusione in ambienti industriali, ZionSiphon include anche funzioni di propagazione tramite supporti rimovibili, una tecnica spesso efficace in reti OT segmentate o con accesso limitato a Internet. Interessante anche la logica di autodistruzione: se il sistema compromesso non soddisfa i criteri di targeting, il malware tenta di cancellarsi per ridurre tracce e analisi forense.
Tuttavia, la versione osservata sembra incapace di completare correttamente alcune verifiche interne, un segnale di configurazione errata, disabilitazione intenzionale o codice incompleto, pur mantenendo una struttura che evidenzia sperimentazione avanzata su manipolazione multi protocollo in reti operative.