Un nuevo malware llamado **ZionSiphon**, diseñado específicamente para tecnología operativa (OT), está atacando entornos de tratamiento y desalinización de agua para sabotear sus operaciones. La amenaza puede ajustar las presiones hidráulicas y elevar los niveles de cloro a niveles peligrosos, según descubrieron los investigadores durante su análisis. Basado en su IP de objetivo y los mensajes políticos incrustados en sus cadenas de texto, **ZionSiphon** parece centrarse en objetivos ubicados en Israel. ### Lógica de cifrado defectuosa Los investigadores de la empresa de ciberseguridad impulsada por IA **Darktrace** encontraron un error en la lógica de cifrado defectuosa en el mecanismo de validación del malware que lo hace no funcional. Advierten que futuras versiones de **ZionSiphon** podrían corregir el fallo para desatar su poder en ataques. Al desplegarse, el malware verifica si la IP del host se encuentra dentro de los rangos israelíes y si el sistema contiene software o archivos relacionados con agua/OT, para asegurar que se está ejecutando en sistemas de tratamiento o desalinización de agua.  **Darktrace** señala que la lógica de verificación del país está rota debido a una discrepancia XOR, lo que provoca que el objetivo falle y active el mecanismo de autodestrucción en lugar de ejecutar el payload. ### Daño potencial Si **ZionSiphon** se activara, podría causar daños significativos al aumentar los niveles de cloro y maximizar la falla y la presión. Esto lo hace a través de una función llamada “IncreaseChlorineLevel()”, que anexa un bloque de texto a los archivos de configuración existentes para maximizar la dosis de cloro y el flujo tanto como sea físicamente soportado por los sistemas mecánicos de la planta. “IncreaseChlorineLevel()” verifica una lista codificada de archivos de configuración asociados con la desalinización, ósmosis inversa, control de cloro y sistemas OT/de Control Industrial (ICS) de tratamiento de agua”, dice **Darktrace**. “Tan pronto como encuentra alguno de estos archivos presentes, anexa un bloque de texto fijo y regresa inmediatamente”. “El bloque de texto anexado contiene las siguientes entradas: “Chlorine_Dose=10”, “Chlorine_Pump=ON”, “Chlorine_Flow=MAX”, “Chlorine_Valve=OPEN” y “RO_Pressure=80”.” La intención de interactuar con sistemas de control industrial (ICS) es obvia al escanear la subred local en busca de los protocolos de comunicación **Modbus**, **DNP3** y **S7comm**. Sin embargo, **Darktrace** ha encontrado solo código parcialmente funcional para **Modbus**, y meros marcadores de posición para los otros dos, lo que indica que el malware aún se encuentra en una fase temprana de desarrollo. ### Propagación por USB **ZionSiphon** también tiene un mecanismo de propagación por USB que se copia a unidades extraíbles como un proceso oculto ‘svchost.exe’ y crea archivos de acceso directo maliciosos que ejecutan el malware al hacer clic en ellos.  La propagación por USB es clave en los sistemas de infraestructura crítica, donde las computadoras que gestionan funciones de seguridad crítica a menudo están “aisladas” (air-gapped), lo que significa que no están conectadas directamente a Internet. Si bien **ZionSiphon** no está operativo en su versión actual, su intención y potencial de daño son preocupantes, y todo lo que se necesita para desbloquear ambos es corregir un error de verificación menor.