### ZionSiphon Ataca Infraestructura Hídrica Israelí Investigadores de ciberseguridad han identificado **ZionSiphon**, un nuevo malware diseñado específicamente para atacar sistemas de tratamiento y desalinización de agua israelíes. Los investigadores de **Darktrace** le dieron el nombre en clave **ZionSiphon** al malware, destacando sus capacidades que incluyen persistencia, manipulación de archivos de configuración locales y escaneo de servicios relevantes para tecnología operativa (OT) en la subred local. Según **VirusTotal**, la primera detección de la muestra ocurrió el 29 de junio de 2025, poco después de la reportada "Guerra de los Doce Días" entre Irán e Israel. **Darktrace** afirmó que el malware combina escalada de privilegios, persistencia, propagación por USB y escaneo de ICS con capacidades de sabotaje dirigidas a controles de cloro y presión. Esto resalta una tendencia creciente de ataques a infraestructura crítica con motivaciones políticas contra tecnologías operativas industriales a nivel mundial. Actualmente incompleto, **ZionSiphon** apunta específicamente a Israel, centrándose en estos rangos de direcciones IPv4: * 2.52.0[.]0 - 2.55.255[.]255 * 79.176.0[.]0 - 79.191.255[.]255 * 212.150.0[.]0 - 212.150.255[.]255 Además de codificar mensajes políticos en apoyo a Irán, Palestina y Yemen, el malware incluye cadenas vinculadas a Israel en su lista de objetivos, específicamente relacionadas con la infraestructura de agua y desalinización de la nación. También verifica que se esté ejecutando en esos sistemas específicos. Una vez lanzado, **ZionSiphon** identifica y sondea dispositivos en la subred local, intentando comunicación específica de protocolo utilizando los protocolos Modbus, DNP3 y S7comm. También modifica archivos de configuración locales, manipulando parámetros asociados con dosis de cloro y presión. El análisis indica que la ruta de ataque orientada a Modbus es la más desarrollada, mientras que las otras dos solo incluyen código parcialmente funcional, lo que sugiere que el malware aún está en desarrollo. Una característica clave del malware es su capacidad para propagar la infección a través de medios extraíbles. En hosts que no cumplen con los criterios de objetivo, inicia una secuencia de autodestrucción para eliminarse. **Darktrace** señala que, si bien el archivo contiene funciones de sabotaje, escaneo y propagación, la muestra actual parece incapaz de satisfacer su propia función de verificación del país objetivo, incluso cuando la IP reportada cae dentro de los rangos especificados. Sugieren que esto podría deberse a una desactivación intencional, configuración incorrecta o un estado incompleto. A pesar de estas limitaciones, la estructura del código sugiere un actor de amenazas experimentando con manipulación multiprotocolo de OT, persistencia dentro de redes operativas y técnicas de propagación por medios extraíbles similares a campañas anteriores dirigidas a ICS. ### RoadK1ll: Un Implante de Pivote Basado en WebSocket Junto con el descubrimiento de **ZionSiphon**, **Blackpoint Cyber** reveló un implante basado en Node.js llamado **RoadK1ll**, diseñado para mantener un acceso confiable a redes comprometidas mientras se integra en la actividad de red normal. **RoadK1ll** es un implante de túnel inverso que establece una conexión WebSocket saliente a infraestructura controlada por el atacante, utilizando esa conexión para intermediar tráfico TCP bajo demanda. A diferencia de los troyanos de acceso remoto tradicionales, no lleva un gran conjunto de comandos y no requiere un listener entrante en el host víctima. Su única función es convertir una única máquina comprometida en un punto de retransmisión controlable, un amplificador de acceso, a través del cual un operador puede pivotar a sistemas internos, servicios y segmentos de red que de otro modo serían inalcanzables desde el exterior del perímetro. ### AngrySpark: Backdoor Ofuscado con VM **Gen Digital** también reveló un backdoor ofuscado con máquina virtual (VM), apodado **AngrySpark**, observado en una sola máquina en el Reino Unido. Este implante operó durante un año entre mayo de 2022 y junio de 2023 antes de desaparecer cuando expiró su infraestructura. Los objetivos finales de la actividad siguen siendo desconocidos. **Gen Digital** explicó que **AngrySpark** opera como un sistema de tres etapas. Una DLL que se hace pasar por un componente de Windows se carga a través del Programador de Tareas, descifra su configuración desde el registro e inyecta shellcode independiente de la posición en svchost.exe. Ese shellcode implementa una máquina virtual. La VM procesa un bloque de 25 KB de instrucciones de bytecode, decodificando y ensamblando el payload real: un beacon que perfila la máquina, se comunica a casa a través de HTTPS disfrazado de solicitudes de imagen PNG y puede recibir shellcode cifrado para su ejecución. El resultado es un malware capaz de establecer persistencia sigilosa, alterar su comportamiento cambiando el bloque y configurar un canal de comando y control (C2) que puede evadir la detección. **Gen Digital** agregó que **AngrySpark** no solo es modular, sino que también está cuidadosamente diseñado para evadir la detección. Varias decisiones de diseño parecen estar específicamente dirigidas a frustrar la agrupación, eludir la instrumentación y limitar el residuo forense dejado atrás. Los metadatos PE del binario han sido alterados deliberadamente para confundir la huella digital de la cadena de herramientas.