Cybersecurityonderzoekers hebben een nieuwe malware ontdekt, ZionSiphon, die specifiek is ontworpen om Israëlische waterzuiverings- en ontziltingssystemen binnen operationele technologie (OT) aan te vallen. De malware, door Darktrace zo genoemd, kan persistentie opbouwen, lokale configuratiebestanden manipuleren en zoekt naar OT-gerelateerde diensten binnen het lokale subnet.

Volgens gegevens op VirusTotal werd het monster voor het eerst in het wild gedetecteerd op 29 juni 2025, kort na het conflict tussen Iran en Israël in juni 2025. Darktrace meldt dat de malware privilege-escalatie, persistente aanwezigheid, verspreiding via USB en ICS-scanning combineert met sabotagefuncties gericht op chloor- en drukregelingen. Dit wijst op een groeiende trend van politiek gemotiveerde aanvallen op kritieke infrastructuur wereldwijd.
De malware richt zich op specifieke IPv4-adresbereiken binnen Israël en bevat gecodeerde politieke boodschappen die steun uitspreken voor Iran, Palestina en Jemen. Daarnaast bevat ZionSiphon strings die verwijzen naar Israëlische water- en ontziltingsinfrastructuur en voert het controles uit om te bevestigen dat het zich in deze specifieke systemen bevindt. De payload activeert zich alleen wanneer zowel een geografische als een omgevingsspecifieke voorwaarde voor waterbehandeling of ontzilting wordt voldaan, aldus Darktrace.

Eenmaal actief identificeert ZionSiphon apparaten op het lokale subnet en probeert het communicatie via Modbus, DNP3 en S7comm protocollen. Het wijzigt lokale configuratiebestanden door parameters te manipuleren die verband houden met chloor dosering en druk. Analyse toont aan dat de Modbus-aanval het meest ontwikkeld is, terwijl de andere protocollen slechts gedeeltelijk functionele code bevatten, wat erop wijst dat de malware nog in ontwikkeling is. Een opvallende eigenschap is de verspreiding via verwisselbare media. Op systemen die niet aan de criteria voldoen, start de malware een zelfvernietigingsproces om zichzelf te verwijderen.
Darktrace merkt op dat de huidige versie van ZionSiphon mogelijk bewust gedeactiveerd, verkeerd geconfigureerd of onafgewerkt is, omdat het bestand de controle op het doelgebied niet altijd correct uitvoert. Desondanks toont de code een experiment met multi-protocol OT-manipulatie, persistente aanwezigheid binnen operationele netwerken en verspreiding via verwisselbare media, vergelijkbaar met eerdere campagnes gericht op industriële controlesystemen.

Gelijktijdig werd een implantaat ontdekt dat RoadK1ll heet, gebaseerd op Node.js, dat betrouwbare toegang tot een gecompromitteerd netwerk onderhoudt en zich vermengt met normale netwerkactiviteit. Volgens Blackpoint Cyber functioneert RoadK1ll als een reverse tunneling implantaat dat via een uitgaande WebSocket-verbinding TCP-verkeer op aanvraag doorstuurt. In tegenstelling tot traditionele remote access trojans heeft het geen uitgebreide commando's of een inkomende listener nodig. Het zet een gecompromitteerde machine om in een controleerbaar relaispunt, waardoor een aanvaller intern kan pivoteren naar systemen en netwerksegmenten die anders onbereikbaar zijn.