### ZionSiphon zielt auf israelische Wasserinfrastruktur Cybersicherheitsforscher haben **ZionSiphon** identifiziert, eine neue Malware, die speziell darauf ausgelegt ist, israelische Wasseraufbereitungs- und Entsalzungssysteme ins Visier zu nehmen. **Darktrace**-Forscher gaben der Malware den Codenamen **ZionSiphon** und hoben ihre Fähigkeiten hervor, darunter Persistenz, Manipulation lokaler Konfigurationsdateien und das Scannen nach operativen Technologie (OT)-relevanten Diensten im lokalen Subnetz. Laut **VirusTotal** erfolgte die erste Erkennung der Probe am 29. Juni 2025, kurz nach dem gemeldeten „Zwölf-Tage-Krieg“ zwischen dem Iran und Israel. **Darktrace** gab an, dass die Malware Privilege Escalation, Persistenz, USB-Propagation und ICS-Scanning mit Sabotagefähigkeiten kombiniert, die auf Chlor- und Drucksteuerungen abzielen. Dies unterstreicht einen wachsenden Trend politisch motivierter Angriffe auf kritische Infrastrukturen und industrielle operative Technologien weltweit. Derzeit noch unvollständig, zielt **ZionSiphon** speziell auf Israel ab und konzentriert sich auf diese IPv4-Adressbereiche: * 2.52.0[.]0 - 2.55.255[.]255 * 79.176.0[.]0 - 79.191.255[.]255 * 212.150.0[.]0 - 212.150.255[.]255 Zusätzlich zur Kodierung politischer Botschaften zur Unterstützung des Iran, Palästinas und des Jemen enthält die Malware Israel-bezogene Strings in ihrer Zielliste, die sich speziell auf die Wasser- und Entsalzungsinfrastruktur des Landes beziehen. Sie prüft auch, ob sie auf diesen spezifischen Systemen läuft. Nach dem Start identifiziert und sondiert **ZionSiphon** Geräte im lokalen Subnetz und versucht, protokollspezifische Kommunikation über Modbus, DNP3 und S7comm-Protokolle herzustellen. Sie modifiziert auch lokale Konfigurationsdateien und manipuliert Parameter, die mit Chlor-Dosen und Druck verbunden sind. Die Analyse deutet darauf hin, dass der Modbus-orientierte Angriffspfad am weitesten entwickelt ist, während die beiden anderen nur teilweise funktionierenden Code enthalten, was darauf hindeutet, dass die Malware noch in der Entwicklung ist. Ein Hauptmerkmal der Malware ist ihre Fähigkeit, die Infektion über Wechselmedien zu verbreiten. Auf Hosts, die die Zielkriterien nicht erfüllen, initiiert sie eine Selbstzerstörungssequenz, um sich selbst zu löschen. **Darktrace** stellt fest, dass die Datei zwar Sabotage-, Scan- und Verbreitungsfunktionen enthält, die aktuelle Probe jedoch nicht in der Lage zu sein scheint, ihre eigene Zielland-Prüffunktion zu erfüllen, selbst wenn die gemeldete IP innerhalb der angegebenen Bereiche liegt. Sie vermuten, dass dies auf eine absichtliche Deaktivierung, eine falsche Konfiguration oder einen unvollständigen Zustand zurückzuführen sein könnte. Trotz dieser Einschränkungen deutet die Code-Struktur auf einen Bedrohungsakteur hin, der mit Multi-Protokoll-OT-Manipulation, Persistenz in operativen Netzwerken und Techniken zur Verbreitung über Wechselmedien experimentiert, ähnlich wie bei früheren ICS-zielenden Kampagnen. ### RoadK1ll: Ein auf WebSocket basierendes Pivoting-Implantat Parallel zur Entdeckung von **ZionSiphon** enthüllte **Blackpoint Cyber** ein auf Node.js basierendes Implantat namens **RoadK1ll**, das entwickelt wurde, um zuverlässigen Zugriff auf kompromittierte Netzwerke aufrechtzuerhalten und sich gleichzeitig in normale Netzwerkaktivitäten einzufügen. **RoadK1ll** ist ein Reverse-Tunneling-Implantat, das eine ausgehende WebSocket-Verbindung zu Angreifer-kontrollierter Infrastruktur aufbaut und diese Verbindung nutzt, um TCP-Verkehr nach Bedarf zu vermitteln. Im Gegensatz zu herkömmlichen Remote-Access-Trojanern verfügt es über keinen großen Befehlssatz und benötigt keinen eingehenden Listener auf dem Opferhost. Seine einzige Funktion besteht darin, eine einzelne kompromittierte Maschine in einen steuerbaren Relaispunkt, einen Zugangsverstärker, zu verwandeln, über den ein Operator zu internen Systemen, Diensten und Netzwerksegmenten übergehen kann, die von außerhalb des Perimeters sonst unerreichbar wären. ### AngrySpark: VM-obfuskierte Backdoor **Gen Digital** deckte außerdem eine VM-obfuskierte Backdoor namens **AngrySpark** auf, die auf einer einzelnen Maschine im Vereinigten Königreich beobachtet wurde. Dieses Implantat war zwischen Mai 2022 und Juni 2023 ein Jahr lang aktiv, bevor es verschwand, als seine Infrastruktur auslief. Die Endziele der Aktivität bleiben unbekannt. **Gen Digital** erklärte, dass **AngrySpark** als dreistufiges System fungiert. Eine DLL, die sich als Windows-Komponente tarnt, wird über den Task Scheduler geladen, entschlüsselt ihre Konfiguration aus der Registrierung und injiziert positionunabhängigen Shellcode in svchost.exe. Dieser Shellcode implementiert eine virtuelle Maschine. Die VM verarbeitet einen 25 KB großen Blob von Bytecode-Anweisungen, dekodiert und setzt die eigentliche payload zusammen – einen Beacon, der die Maschine profiliert, über HTTPS als PNG-Bildanfragen getarnt nach Hause telefoniert und verschlüsselten Shellcode zur Ausführung empfangen kann. Das Ergebnis ist eine Malware, die in der Lage ist, eine unauffällige Persistenz herzustellen, ihr Verhalten durch Wechseln des Blobs zu ändern und einen Command-and-Control (C2)-Kanal einzurichten, der Erkennung vermeiden kann. **Gen Digital** fügte hinzu, dass **AngrySpark** nicht nur modular, sondern auch sorgfältig darauf ausgelegt ist, Erkennung zu vermeiden. Mehrere Designentscheidungen scheinen speziell darauf abzuzielen, Clustering zu erschweren, Instrumentierung zu umgehen und die zurückbleibenden forensischen Spuren zu begrenzen. Die PE-Metadaten des Binärs wurden absichtlich verändert, um das Fingerprinting der Toolchain zu verwirren.